#配置 VPN SSL 设置

#配置 VPN SSL 设置

我有一款运行 FortiOS 5.4.x 的 Fortigate 产品,我无法缓解Sweet32 漏洞

我已经启用了高安全算法并禁用了 Beast & Crime 的 SSL3 / TLS1.0,如下所示。

config system global 
  set strong-crypto enable 
  end

config vpn ssl setting 
   set sslv3 disable 
   set tls1-0 disable 

我该如何解决这个问题?

答案1

根据FortiOS 5.4.1 CLI 参考可以阻止使用特定密码套件(例如 3DES)。关于此选项的使用文档很少,但我已经验证它确实可以按需要运行。不幸的是,在 5.2 或更早版本中似乎没有匹配的命令。

config vpn ssl setting 
   banned-cipher 3DES

答案2

TLDR:Fortinet 为其固件发布了一个新的补丁来解决此问题。

构建 1100

这是解决 Sweet32 问题的唯一方法

已扫描并确认。


我遇到了同样的问题。使用他的 (Tim Brigham) 注释,我能够找到 CLI 代码。

配置 vpn.ssl 设置

编辑

设置 reqclientcert {启用 | 禁用}

设置 sslv3 {启用 | 禁用}

设置 tlsv1-0 {启用|禁用}

设置 tlsv1-1 {启用|禁用}

设置 tlsv1-2 {启用|禁用}

设置禁止密码 {RSA | DH | DHE | ECDH | ECDHE | DSS | ECDSA | AES | AESGCM |

加州

梅莉亚 | 3DES | SHA1 | SHA256 | SHA3​​84}

取自

http://docs.fortinet.com/uploaded/files/2798/fortigate-cli-ref-54.pdf

第 756 页

命令:

#配置 VPN SSL 设置

*请注意,如果您使用配置 vpn.ssl 设置,则会出现错误。

#设置禁用密码 3DES

*如果没有设置,它在我的 CLI 上显示为未知

我正在运行 PCI 扫描仪来验证完成情况。确认后会更新。

** 未解决 PCI 故障 **


** 更新 ** 2016 年 11 月 1 日(忽略,因为这也未能解决问题*)

我不得不拨打支持热线,结果如下。1 (866) 868-3678(等待时间较长,接通后可快速解决)

对我来说,SSL 证书一直是默认的 Fortinet_Factory,但这个证书已经过时了。在 5.4.x 版本中,还有另一个名为 Fortinet_SSL 的设置,它已更新且正确。在 5.2.x 版本中,他们需要使用更新的系统进行设置。不知道该怎么做,但技术人员是这么说的。

配置 VPN SSL 设置

sh ful(显示当前设置)

设置 servercert(显示哪些证书可用)

设置服务器证书 Fortinet_FacotrySSL

结尾

endset servercert Fortinet_SSLh fulconfig vpn ssl settingsshow | grep -f factoryFortinet_Factory

配置用户设置设置身份验证类型 http https 设置身份验证证书“Fortinet_Factory”<--- 设置身份验证安全 http 启用结束

配置用户设置

(环境) #

(设置)# 设置 auth-typecert Fortinet_CA_SSLProxyUntrustedFactorySSL

(设置)# 结束

我建议打电话让他们设置这个,因为我找不到很好的指导。我只是登录了 SSH 并复制粘贴了他们输入的命令。

更新前我的 PCI 出现故障,如下所示 >

TLSv1_1:ECDHE-RSA-DES-CBC3-SHA

TLSv1_1:EDH-RSA-DES-CBC3-SHA

TLSv1_1 :DES-CBC3-SHA

TLSv1_2:ECDHE-RSA-DES-CBC3-SHA

TLSv1_2:EDH-RSA-DES-CBC3-SHA

TLSv1_2 :DES-CBC3-SHA

我启用了强加密并设置了禁止密码 3DES,但并没有解决这些问题。

SSL 更改未能解决问题 ***


2016 年 11 月 2 日再次打电话。被告知系统需要修补。

已更新至 5.4.2 版本 1100。

相关内容