我有一款运行 FortiOS 5.4.x 的 Fortigate 产品,我无法缓解Sweet32 漏洞。
我已经启用了高安全算法并禁用了 Beast & Crime 的 SSL3 / TLS1.0,如下所示。
config system global
set strong-crypto enable
end
config vpn ssl setting
set sslv3 disable
set tls1-0 disable
我该如何解决这个问题?
答案1
根据FortiOS 5.4.1 CLI 参考可以阻止使用特定密码套件(例如 3DES)。关于此选项的使用文档很少,但我已经验证它确实可以按需要运行。不幸的是,在 5.2 或更早版本中似乎没有匹配的命令。
config vpn ssl setting
banned-cipher 3DES
答案2
TLDR:Fortinet 为其固件发布了一个新的补丁来解决此问题。
构建 1100
这是解决 Sweet32 问题的唯一方法
已扫描并确认。
我遇到了同样的问题。使用他的 (Tim Brigham) 注释,我能够找到 CLI 代码。
配置 vpn.ssl 设置
编辑
设置 reqclientcert {启用 | 禁用}
设置 sslv3 {启用 | 禁用}
设置 tlsv1-0 {启用|禁用}
设置 tlsv1-1 {启用|禁用}
设置 tlsv1-2 {启用|禁用}
设置禁止密码 {RSA | DH | DHE | ECDH | ECDHE | DSS | ECDSA | AES | AESGCM |
加州
梅莉亚 | 3DES | SHA1 | SHA256 | SHA384}
取自
http://docs.fortinet.com/uploaded/files/2798/fortigate-cli-ref-54.pdf
第 756 页
命令:
#配置 VPN SSL 设置
*请注意,如果您使用配置 vpn.ssl 设置,则会出现错误。
#设置禁用密码 3DES
*如果没有设置,它在我的 CLI 上显示为未知
我正在运行 PCI 扫描仪来验证完成情况。确认后会更新。
** 未解决 PCI 故障 **
** 更新 ** 2016 年 11 月 1 日(忽略,因为这也未能解决问题*)
我不得不拨打支持热线,结果如下。1 (866) 868-3678(等待时间较长,接通后可快速解决)
对我来说,SSL 证书一直是默认的 Fortinet_Factory,但这个证书已经过时了。在 5.4.x 版本中,还有另一个名为 Fortinet_SSL 的设置,它已更新且正确。在 5.2.x 版本中,他们需要使用更新的系统进行设置。不知道该怎么做,但技术人员是这么说的。
配置 VPN SSL 设置
sh ful(显示当前设置)
设置 servercert(显示哪些证书可用)
设置服务器证书 Fortinet_FacotrySSL
结尾
endset servercert Fortinet_SSLh fulconfig vpn ssl settingsshow | grep -f factoryFortinet_Factory
配置用户设置设置身份验证类型 http https 设置身份验证证书“Fortinet_Factory”<--- 设置身份验证安全 http 启用结束
配置用户设置
(环境) #
(设置)# 设置 auth-typecert Fortinet_CA_SSLProxyUntrustedFactorySSL
(设置)# 结束
我建议打电话让他们设置这个,因为我找不到很好的指导。我只是登录了 SSH 并复制粘贴了他们输入的命令。
更新前我的 PCI 出现故障,如下所示 >
TLSv1_1:ECDHE-RSA-DES-CBC3-SHA
TLSv1_1:EDH-RSA-DES-CBC3-SHA
TLSv1_1 :DES-CBC3-SHA
TLSv1_2:ECDHE-RSA-DES-CBC3-SHA
TLSv1_2:EDH-RSA-DES-CBC3-SHA
TLSv1_2 :DES-CBC3-SHA
我启用了强加密并设置了禁止密码 3DES,但并没有解决这些问题。
SSL 更改未能解决问题 ***
2016 年 11 月 2 日再次打电话。被告知系统需要修补。
已更新至 5.4.2 版本 1100。