Es wird bei diesen "Man in the middle Angriffen" erzwungen das nicht TLS 1.2 / 1.1 oder 1.0 verwendet wird, sondern dass das alte Protokoll SSL 3.0 verwendet wird. relative simpels SSL 3.0 Fallback.
- Version 34 des Mozilla Firefox-Browsers deaktiviert SSL 3.0. In älteren Firefox-Versionen (sowie in Mozilla Thunderbird und SeaMonkey) muss unter about:config die Einstellung "security.tls.version.min" auf den Wert "1" gesetzt werden.
- In Google Chrome und Chromium wird SSL 3.0 manuell auf der Kommandozeile mit dem Parameter -ssl-version-min=tls1 abgeschaltet. Ab Version 40 kann der Browser Chrome ohne diese Parameter-Eingabe abgesichert betrieben werden.
- Im Internet Explorer muss unter "Internetoptionen" > "Erweitert" > "Sicherheit" der Haken bei "SSL 3 verwenden" entfernt werden. Lediglich der ursprünglich mit Windows XP ausgelieferte Browser Internet Explorer 6 unterstützt das nachfolgende TLS 1.0 noch nicht.
Quelle: Wikipedia
NVD - Detail
NVD - Detail
Wir schauen uns aber nun ab, was bei Fortinet Produkten zu machen ist um diese Problematik direkt Serverseitig zu lösen:
Betroffene Produkte:
Fortigate, Fortimail, Fortianalyzer, Fortimanager, FortiAuthenicator nur v3.0, Fortiweb, FortiDDos bis v4.1.3,FortiADC-D, FortiClient, FortiVoice, FortiRecorder, FortiDB, FortiSwitch
Bei allen oben genannten FortiOS Produkten ist folgendes via CLI einzugeben:
config system global set strong-crypto enable end
config firewall vip edit "your_vip" set ssl-min-version tls-1.0 end
config wanopt ssl-server editset ssl-min-version tls-1.0 end
config voip profile editconfig sip set ssl-mode full set ssl-min-version tls-1.0
config system global set strong-crypto enable end
System->Load Balance->Clusters->Security->SSL: Entfernen der Checkbox "Allow SSLv3"
Upgrade auf 4.1.3
FortiWeb:
Upgrade auf 5.3.2 oder 5.2.4 und folgende Schritte in der CLI:
config system advanced set no-sslv3 enable end config system global set no-sslv3 enable end
LG Alex