Ipsec
ISAKMP 允許弱 IPsec 加密設置(PCI 合規性)
我正在研究客戶的 PCI 合規性。失敗的項目之一是:
3.1.5。ISAKMP 允許弱 IPsec 加密設置 (ipsecweakencryptionsettings)
給出的解決方案是:“修改 ISAKMP 設置以僅允許協商安全加密算法。”
有人可以就我如何解決這個問題提供一些更詳細的資訊嗎?
作業系統是 SBS2011,帶有 Exchange 2010、IIS 7.5
您可以通過訪問為您的 VPN 隧道提供服務的設備或伺服器來解決此問題,然後“
$$ modifying $$ISAKMP 設置僅允許協商安全加密算法。”它可能允許將較弱的加密選項用於舊版支持,因此您將其關閉。聽起來您真的開始對這個客戶端的深度不夠了, 誠實地。 並不是說我想讓你聽起來像太多的雞巴或鸚鵡學舌,但它實際上就像更改 VPN 隧道上的設置以強制執行更強大的加密(更現代的算法和/或更長的密鑰長度)一樣簡單。這甚至可能就像禁用對 DES 的支持一樣簡單,這是多年前的通用標準,現在非常不安全。
似乎不會在您的 SBS/Exchange 伺服器上找到它(儘管我見過奇怪的東西),我建議首先查看路由設備,特別是任何可能存在的防火牆或邊緣設備用作 VPN 使用者的連接點,將在此處協商 VPN 隧道。