Назад | Перейти на главную страницу

Блокировать атаки Sweet32 на Fortigate?

У меня есть продукт Fortigate под управлением FortiOS 5.4.x, и я не могу уменьшить Sweet32 уязвимость.

Я уже включил алгоритмы высокой безопасности и отключил SSL3 / TLS1.0 для Beast & Crime, как показано ниже.

config system global 
  set strong-crypto enable 
  end

config vpn ssl setting 
   set sslv3 disable 
   set tls1-0 disable 

Как я могу решить эту проблему?

Согласно FortiOS 5.4.1 Справочник по интерфейсу командной строки можно заблокировать использование определенных наборов шифров, таких как 3DES. Документации по использованию этой опции немного, но я убедился, что она действительно работает по мере необходимости. К сожалению, похоже, что в версии 5.2 или более ранней нет соответствующей команды.

config vpn ssl setting 
   banned-cipher 3DES

TL; DR: у Fortinet есть новый патч для их прошивки, чтобы решить эту проблему.

Сборка 1100

Это был единственный способ решить мою проблему с Sweet32.

Отсканировано и подтверждено.


У меня такая же проблема. Используя его (Тим Бригам) записку, я смог найти код интерфейса командной строки.

config настройки vpn.ssl

редактировать

установить reqclientcert {включить | disable}

установить sslv3 {включить | disable}

установить tlsv1-0 {включить | disable}

установить tlsv1-1 {включить | disable}

установить tlsv1-2 {включить | disable}

установить запрещенный шифр {RSA | DH | DHE | ECDH | ECDHE | DSS | ECDSA | AES | AESGCM |

CA

МЕЛЛИЯ | 3DES | SHA1 | SHA256 | SHA384}

Взято из

http://docs.fortinet.com/uploaded/files/2798/fortigate-cli-ref-54.pdf

Стр. Решебника 756

Команды:

#config vpn ssl settings

* Обратите внимание: если вы используете настройки config vpn.ssl, это приведет к ошибке.

#set banned-cipher 3DES

* без набора он появляется как неизвестный в моем интерфейсе командной строки

Я запускаю свой PCI-сканер, чтобы проверить завершение. Будет обновлено после подтверждения.

** Не удалось устранить сбой PCI **


** Обновление ** 01.11.2016 (игнорировать, поскольку это не решило проблему Либо *)

Мне пришлось позвонить в службу поддержки, и вот что я нашел. 1 (866) 868-3678 (ожидается долгое время удержания, быстрое разрешение после подключения)

Сертификатом SSL для меня был Fortinet_Factory по умолчанию, который устарел. В версии 5.4.x есть еще один параметр, называемый Fortinet_SSL, который обновлен и исправлен. На 5.2.x вам нужно будет установить обновленную систему. Не знаю, как это сделать, но техник сказал так.

config vpn ssl настройки

sh ful (показывает ваши текущие настройки)

установить servercert (показывает, какие сертификаты доступны)

установить servercert Fortinet_FacotrySSL

конец

endset servercert Fortinet_SSLh fulconfig vpn ssl settingshow | grep -f factoryFortinet_Factory

config настройки пользователя set auth-type http https set auth-cert "Fortinet_Factory" <--- set auth-secure-http enable end

настройка пользователя config

(настройка) #

(настройка) # установить auth-typecert Fortinet_CA_SSLProxyUntrustedFactorySSL

(настройка) # конец

Я бы порекомендовал позвонить и попросить их установить это, так как на самом деле я не мог найти подходящего варианта. Я просто зарегистрировал SSH и скопировал вставленные команды.

Это то, что отображается как отказ моего PCI перед обновлением>

TLSv1_1: ECDHE-RSA-DES-CBC3-SHA

TLSv1_1: EDH-RSA-DES-CBC3-SHA

TLSv1_1: DES-CBC3-SHA

TLSv1_2: ECDHE-RSA-DES-CBC3-SHA

TLSv1_2: EDH-RSA-DES-CBC3-SHA

TLSv1_2: DES-CBC3-SHA

Я включил сильное шифрование и установил 3DES с запрещенным шифрованием, которые не разрешили их.

Смена SSL не решила проблему ***


Позвонил снова 02.11.2016. Было сказано, что систему нужно исправить.

Обновлено до 5.4.2 build 1100.