Início / server / Perguntas / 810041
Accepted
Tim Brigham
Asked: 2016-10-20 09:32:49 +0800 CST

Bloquear ataques Sweet32 em um Fortigate?

  • 772

Eu tenho um produto Fortigate executando o FortiOS 5.4.xe não consigo atenuar a vulnerabilidade Sweet32 .

Já habilitei os algoritmos de alta segurança e desativei o SSL3 / TLS1.0 para Beast & Crime conforme mostrado abaixo. 

config system global 
  set strong-crypto enable 
  end

config vpn ssl setting 
   set sslv3 disable 
   set tls1-0 disable

Como posso resolver isso?

fortigate

2 respostas

  1. Best Answer

    De acordo com o FortiOS 5.4.1 CLI Reference , é possível bloquear o uso de conjuntos de cifras específicos, como 3DES. Há pouca documentação sobre o uso dessa opção, mas verifiquei que ela realmente funciona conforme necessário. Infelizmente, não parece haver um comando correspondente na versão 5.2 ou anterior.

    config vpn ssl setting 
   banned-cipher 3DES
    • 0

  2. TLDR: A Fortinet tem um novo patch para seu firmware para resolver esse problema.

    Construir 1100

    Esta foi a única maneira de resolver meu problema com o Sweet32

    Digitalizado e confirmado.

    Estou tendo o mesmo problema. Usando sua nota (Tim Brigham), consegui encontrar o código CLI.

    configurar configurações vpn.ssl

    editar

    definir reqclientcert {ativar | desabilitar}

    definir sslv3 {ativar | desabilitar}

    definir tlsv1-0 {ativar | desabilitar}

    definir tlsv1-1 {ativar | desabilitar}

    definir tlsv1-2 {ativar | desabilitar}

    conjunto banido-cifra {RSA | DH | DHE | ECDH | ECDHE | DSS | ECDSA | AES | AESGCM |

    CA

    MÉLIA | 3DES | SHA1 | SHA256 | SHA384}

    Tirado de

    http://docs.fortinet.com/uploaded/files/2798/fortigate-cli-ref-54.pdf

    página 756

    Comandos:

    #config configurações vpn ssl

    *Observe que, se você usar as configurações vpn.ssl, ocorrerá um erro.

    #set banido-cipher 3DES

    *sem o conjunto, vem como desconhecido na minha CLI

    Estou executando meu scanner PCI para verificar a conclusão. Será atualizado assim que confirmado.

    ** Não resolveu a falha do PCI **

    ** Atualização ** 01/11/2016 (Ignore, pois isso também não resolveu o problema*)

    Eu tive que ligar para a linha de suporte e foi isso que encontrei. 1 (866) 868-3678 (espere um longo tempo de espera, resolução rápida uma vez conectado)

    O certificado SSL para mim tem sido o padrão Fortinet_Factory que está desatualizado. Na versão 5.4.x existe outra configuração chamada Fortinet_SSL que está atualizada e correta. No 5.2.x, eles precisarão configurá-lo com o sistema atualizado. Não faço ideia de como fazer isso, mas foi o que o técnico disse.

    configurar configurações vpn ssl

    sh ful (mostra suas configurações atuais)

    set servercert (mostra quais certificados estão disponíveis)

    definir servercert Fortinet_FacotrySSL

    fim

    endset servercert Fortinet_SSLh fulconfig vpn ssl settingsshow | grep -f fábricaFortinet_Factory

    config user setting set auth-type http https set auth-cert "Fortinet_Factory" <--- set auth-secure-http enable end

    definir configuração do usuário

    (contexto) #

    (setting) # set auth-typecert Fortinet_CA_SSLProxyUntrustedFactorySSL

    (configuração) # fim

    Eu recomendaria ligar e pedir para eles definirem isso, pois não há realmente uma boa caminhada que eu possa encontrar. Eu basicamente registrei o SSH e copiei e colei os comandos que eles colocaram.

    Isso é o que mostra como meu PCI falhou antes da atualização>

    TLSv1_1: ECDHE-RSA-DES-CBC3-SHA

    TLSv1_1: EDH-RSA-DES-CBC3-SHA

    TLSv1_1: DES-CBC3-SHA

    TLSv1_2: ECDHE-RSA-DES-CBC3-SHA

    TLSv1_2: EDH-RSA-DES-CBC3-SHA

    TLSv1_2 : DES-CBC3-SHA

    Eu fiz o strong-crypto enable e o set baned-cipher 3DES que não os resolveu.

    A mudança de SSL não resolveu o problema ***

    Liguei novamente em 02/11/2016. Foi dito que o sistema precisava ser corrigido.

    Atualizado para 5.4.2 compilação 1100.

    • 0

relate perguntas