ISAKMP 允许弱 IPsec 加密设置(PCI 合规性)

ISAKMP 允许弱 IPsec 加密设置(PCI 合规性)

我正在处理客户的 PCI 合规性问题。其中一项不合格项目是:

3.1.5. ISAKMP 允许弱 IPsec 加密设置 (ipsecweakencryptionsettings)

给出的解决方案是:“修改ISAKMP设置,只允许协商安全加密算法。”

有人可以更详细地介绍一下如何解决这个问题吗?

操作系统是SBS2011,带有Exchange 2010,IIS 7.5

答案1

您可以通过转到提供 VPN 隧道的设备或服务器并“[修改] ISAKMP 设置以仅允许协商安全加密算法”来解决此问题。它可能允许使用较弱的加密选项来提供旧版支持,因此您将其关闭。老实说,这听起来真的开始让您觉得您对这个客户端已经完全不了解了。

我并不是想让你觉得我太过自负或重复问题信息,但这真的很简单,只需更改 VPN 隧道上的设置以强制使用更强大的加密(更现代的算法和/或更长的密钥长度)。这甚至可能像禁用对 DES 的支持一样简单,DES 是多年前的通用标准,现在非常不安全。

这似乎不会在您的 SBS/Exchange 服务器上发现(尽管我见过更奇怪的事情),我建议首先查看路由设备,特别是可能用作 VPN 用户连接点的任何防火墙或边缘设备,VPN 隧道将在那里协商。

答案2

尝试禁用 isakmp 激进模式。激进模式比主模式更快,但安全性较差,因为它仅传递 3 个身份验证数据包。通常建议使用主模式而不是激进模式。如果出于性能问题必须使用激进模式,例如,请使用公钥加密身份验证。

答案3

禁用 DES 和 MD5​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​

相关内容