我有一个运行 FortiOS 5.4.x 的 Fortigate 产品,但我无法缓解Sweet32 漏洞。
我已经为 Beast & Crime 启用了高安全性算法并禁用了 SSL3 / TLS1.0,如下所示。
config system global
set strong-crypto enable
end
config vpn ssl setting
set sslv3 disable
set tls1-0 disable
我该如何解决这个问题?
AskOverflow.Dev
根据FortiOS 5.4.1 CLI Reference,可以阻止使用特定的密码套件,例如 3DES。关于使用此选项的文档很少,但我已经验证它确实可以根据需要运行。不幸的是,在 5.2 或更早版本中似乎没有匹配的命令。
TLDR:Fortinet 为其固件提供了一个新补丁来解决此问题。
建造 1100
这是解决我的 Sweet32 问题的唯一方法
扫描并确认。
我有同样的问题。使用他 (Tim Brigham) 的笔记,我能够找到 CLI 代码。
配置 vpn.ssl 设置
编辑
设置 reqclientcert {启用 | 禁用}
设置 sslv3 {启用 | 禁用}
设置 tlsv1-0 {启用 | 禁用}
设置 tlsv1-1 {启用 | 禁用}
设置 tlsv1-2 {启用 | 禁用}
设置禁止密码 {RSA | DH | DHE | ECDH | ECDHE | 数据安全系统 | ECDSA | AES | AESGCM |
加州
梅利亚 | 3DES | SHA1 | SHA256 | SHA384}
摘自
http://docs.fortinet.com/uploaded/files/2798/fortigate-cli-ref-54.pdf
第 756 页
命令:
#config vpn ssl 设置
*请注意,如果您使用 config vpn.ssl 设置,则会出现错误。
#set 禁止密码 3DES
*没有设置,它在我的 CLI 上是未知的
我正在运行我的 PCI 扫描仪来验证是否完成。确认后会更新。
** 没有解决 PCI 故障 **
** 更新 ** 2016 年 11 月 1 日(忽略,因为这并不能解决问题*)
我不得不拨打支持热线,这就是我发现的。1 (866) 868-3678(预计保持时间较长,连接后快速解决)
对我来说,SSL 证书是默认的 Fortinet_Factory,它已经过时了。在 5.4.x 版本上,还有另一个名为 Fortinet_SSL 的设置已更新且正确。在 5.2.x 上,他们需要为您设置更新的系统。不知道如何做到这一点,但这就是技术人员所说的。
配置 vpn ssl 设置
sh ful(显示您当前的设置)
set servercert(显示哪些证书可用)
设置 servercert Fortinet_FacotrySSL
结尾
endset servercert Fortinet_SSLh fulconfig vpn ssl settingsshow | grep -f factoryFortinet_Factory
配置用户设置 set auth-type http https set auth-cert "Fortinet_Factory" <--- set auth-secure-http enable end
配置用户设置
(环境) #
(设置)# 设置 auth-typecert Fortinet_CA_SSLProxyUntrustedFactorySSL
(设置)#结束
我建议打电话让他们设置这个,因为我找不到一个很好的遍历。我基本上只是记录了 SSH 并复制粘贴了他们输入的命令。
这就是更新前我的 PCI Failing >
TLSv1_1:ECDHE-RSA-DES-CBC3-SHA
TLSv1_1:EDH-RSA-DES-CBC3-SHA
TLSv1_1:DES-CBC3-SHA
TLSv1_2:ECDHE-RSA-DES-CBC3-SHA
TLSv1_2:EDH-RSA-DES-CBC3-SHA
TLSv1_2:DES-CBC3-SHA
我做了强加密启用和设置禁止密码 3DES,但没有解决这些问题。
SSL 更改没有解决问题 ***
2016 年 11 月 2 日再次致电。被告知系统需要修补。
更新到 5.4.2 build 1100。