阻止對 Fortigate 的 Sweet32 攻擊?
我有一個執行 FortiOS 5.4.x 的 Fortigate 產品,但我無法緩解Sweet32 漏洞。
我已經為 Beast & Crime 啟用了高安全性算法並禁用了 SSL3 / TLS1.0,如下所示。
config system global set strong-crypto enable end config vpn ssl setting set sslv3 disable set tls1-0 disable
我該如何解決這個問題?
根據FortiOS 5.4.1 CLI Reference,可以阻止使用特定的密碼套件,例如 3DES。關於使用此選項的文件很少,但我已經驗證它確實可以根據需要執行。不幸的是,在 5.2 或更早版本中似乎沒有匹配的命令。
config vpn ssl setting banned-cipher 3DES
TLDR:Fortinet 為其韌體提供了一個新更新檔來解決此問題。
建造 1100
這是解決我的 Sweet32 問題的唯一方法
掃描並確認。
我有同樣的問題。使用他 (Tim Brigham) 的筆記,我能夠找到 CLI 程式碼。
配置 vpn.ssl 設置
編輯
設置 reqclientcert {啟用 | 禁用}
設置 sslv3 {啟用 | 禁用}
設置 tlsv1-0 {啟用 | 禁用}
設置 tlsv1-1 {啟用 | 禁用}
設置 tlsv1-2 {啟用 | 禁用}
設置禁止密碼 {RSA | DH | DHE | ECDH | ECDHE | 數據安全系統 | ECDSA | AES | AESGCM |
那
梅利亞 | 3DES | SHA1 | SHA256 | SHA384}
取自
http://docs.fortinet.com/uploaded/files/2798/fortigate-cli-ref-54.pdf
第 756 頁
命令:
#config vpn ssl 設置
*請注意,如果您使用 config vpn.ssl 設置,則會出現錯誤。
#set 禁止密碼 3DES
*沒有設置,它在我的 CLI 上是未知的
我正在執行我的 PCI 掃描器來驗證是否完成。確認後會更新。
** 沒有解決 PCI 故障 **
** 更新 ** 2016 年 11 月 1 日(忽略,因為這並不能解決問題*)
我不得不撥打支持熱線,這就是我發現的。1 (866) 868-3678(預計保持時間較長,連接後快速解決)
對我來說,SSL 證書是預設的 Fortinet_Factory,它已經過時了。在 5.4.x 版本上,還有另一個名為 Fortinet_SSL 的設置已更新且正確。在 5.2.x 上,他們需要為您設置更新的系統。不知道如何做到這一點,但這就是技術人員所說的。
配置 vpn ssl 設置
sh ful(顯示您目前的設置)
set servercert(顯示哪些證書可用)
設置 servercert Fortinet_FacotrySSL
結尾
endset servercert Fortinet_SSLh fulconfig vpn ssl settingsshow | grep -f factoryFortinet_Factory
配置使用者設置 set auth-type http https set auth-cert “Fortinet_Factory” <— set auth-secure-http enable end
配置使用者設置
(環境) #
(設置)# 設置 auth-typecert Fortinet_CA_SSLProxyUntrustedFactorySSL
(設置)#結束
我建議打電話讓他們設置這個,因為我找不到一個很好的遍歷。我基本上只是記錄了 SSH 並複制粘貼了他們輸入的命令。
這就是更新前我的 PCI Failing >
TLSv1_1:ECDHE-RSA-DES-CBC3-SHA
TLSv1_1:EDH-RSA-DES-CBC3-SHA
TLSv1_1:DES-CBC3-SHA
TLSv1_2:ECDHE-RSA-DES-CBC3-SHA
TLSv1_2:EDH-RSA-DES-CBC3-SHA
TLSv1_2:DES-CBC3-SHA
我做了強加密啟用和設置禁止密碼 3DES,但沒有解決這些問題。
SSL 更改沒有解決問題 ***
2016 年 11 月 2 日再次致電。被告知系統需要修補。
更新到 5.4.2 build 1100。