У меня есть продукт Fortigate под управлением FortiOS 5.4.x, и я не могу уменьшить Sweet32 уязвимость.
Я уже включил алгоритмы высокой безопасности и отключил SSL3 / TLS1.0 для Beast & Crime, как показано ниже.
config system global
set strong-crypto enable
end
config vpn ssl setting
set sslv3 disable
set tls1-0 disable
Как я могу решить эту проблему?
Согласно FortiOS 5.4.1 Справочник по интерфейсу командной строки можно заблокировать использование определенных наборов шифров, таких как 3DES. Документации по использованию этой опции немного, но я убедился, что она действительно работает по мере необходимости. К сожалению, похоже, что в версии 5.2 или более ранней нет соответствующей команды.
config vpn ssl setting
banned-cipher 3DES
TL; DR: у Fortinet есть новый патч для их прошивки, чтобы решить эту проблему.
Сборка 1100
Это был единственный способ решить мою проблему с Sweet32.
Отсканировано и подтверждено.
У меня такая же проблема. Используя его (Тим Бригам) записку, я смог найти код интерфейса командной строки.
config настройки vpn.ssl
редактировать
установить reqclientcert {включить | disable}
установить sslv3 {включить | disable}
установить tlsv1-0 {включить | disable}
установить tlsv1-1 {включить | disable}
установить tlsv1-2 {включить | disable}
установить запрещенный шифр {RSA | DH | DHE | ECDH | ECDHE | DSS | ECDSA | AES | AESGCM |
CA
МЕЛЛИЯ | 3DES | SHA1 | SHA256 | SHA384}
Взято из
http://docs.fortinet.com/uploaded/files/2798/fortigate-cli-ref-54.pdf
Стр. Решебника 756
Команды:
* Обратите внимание: если вы используете настройки config vpn.ssl, это приведет к ошибке.
* без набора он появляется как неизвестный в моем интерфейсе командной строки
Я запускаю свой PCI-сканер, чтобы проверить завершение. Будет обновлено после подтверждения.
** Не удалось устранить сбой PCI **
** Обновление ** 01.11.2016 (игнорировать, поскольку это не решило проблему Либо *)
Мне пришлось позвонить в службу поддержки, и вот что я нашел. 1 (866) 868-3678 (ожидается долгое время удержания, быстрое разрешение после подключения)
Сертификатом SSL для меня был Fortinet_Factory по умолчанию, который устарел. В версии 5.4.x есть еще один параметр, называемый Fortinet_SSL, который обновлен и исправлен. На 5.2.x вам нужно будет установить обновленную систему. Не знаю, как это сделать, но техник сказал так.
config настройки пользователя set auth-type http https set auth-cert "Fortinet_Factory" <--- set auth-secure-http enable end
(настройка) #
(настройка) # установить auth-typecert Fortinet_CA_SSLProxyUntrustedFactorySSL
(настройка) # конец
Я бы порекомендовал позвонить и попросить их установить это, так как на самом деле я не мог найти подходящего варианта. Я просто зарегистрировал SSH и скопировал вставленные команды.
Это то, что отображается как отказ моего PCI перед обновлением>
TLSv1_1: ECDHE-RSA-DES-CBC3-SHA
TLSv1_1: EDH-RSA-DES-CBC3-SHA
TLSv1_1: DES-CBC3-SHA
TLSv1_2: ECDHE-RSA-DES-CBC3-SHA
TLSv1_2: EDH-RSA-DES-CBC3-SHA
TLSv1_2: DES-CBC3-SHA
Я включил сильное шифрование и установил 3DES с запрещенным шифрованием, которые не разрешили их.
Смена SSL не решила проблему ***
Позвонил снова 02.11.2016. Было сказано, что систему нужно исправить.
Обновлено до 5.4.2 build 1100.