Ankündigung

Einklappen
Keine Ankündigung bisher.

SSLv3 Poddle bei Fortinet Produkten

Einklappen
Das ist ein wichtiges Thema.
X
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Information: SSLv3 Poddle bei Fortinet Produkten

    Die "Poodle" Lücke, wird als eine schwerwiegende Sicherheitslücke bei Internet Verbindungen bezeichnet. Welche private Daten von Servern und Clients in der Verbindung auslesen können.
    Es wird bei diesen "Man in the middle Angriffen" erzwungen das nicht TLS 1.2 / 1.1 oder 1.0 verwendet wird, sondern dass das alte Protokoll SSL 3.0 verwendet wird. relative simpels SSL 3.0 Fallback.
    Am besten schaltet Ihr bei den Webbrowser auf euren PC SSL 3.0 aus:
    • Version 34 des Mozilla Firefox-Browsers deaktiviert SSL 3.0. In älteren Firefox-Versionen (sowie in Mozilla Thunderbird und SeaMonkey) muss unter about:config die Einstellung "security.tls.version.min" auf den Wert "1" gesetzt werden.
    • In Google Chrome und Chromium wird SSL 3.0 manuell auf der Kommandozeile mit dem Parameter -ssl-version-min=tls1 abgeschaltet. Ab Version 40 kann der Browser Chrome ohne diese Parameter-Eingabe abgesichert betrieben werden.
    • Im Internet Explorer muss unter "Internetoptionen" > "Erweitert" > "Sicherheit" der Haken bei "SSL 3 verwenden" entfernt werden. Lediglich der ursprünglich mit Windows XP ausgelieferte Browser Internet Explorer 6 unterstützt das nachfolgende TLS 1.0 noch nicht.


    Quelle: Wikipedia
    Die genaue Sicherheitslücke wird auf folgenden zwei Links erklärt:
    NVD - Detail
    NVD - Detail
    Wir schauen uns aber nun ab, was bei Fortinet Produkten zu machen ist um diese Problematik direkt Serverseitig zu lösen:
    Betroffene Produkte:
    Fortigate, Fortimail, Fortianalyzer, Fortimanager, FortiAuthenicator nur v3.0, Fortiweb, FortiDDos bis v4.1.3,FortiADC-D, FortiClient, FortiVoice, FortiRecorder, FortiDB, FortiSwitch
    Bei allen oben genannten FortiOS Produkten ist folgendes via CLI einzugeben:
    Code:
        
    config system global  
    set strong-crypto enable  
    end
    Für VIP Load Balance:
    Code:
    config firewall vip   
    edit "your_vip"  
    set ssl-min-version tls-1.0  
    end
    Für WanOptimizer:
    Code:
    config wanopt ssl-server 
    edit   
    set ssl-min-version tls-1.0  
    end
    For SIP SSL (Nur bei grösseren Geräte):
    Code:
    config voip profile
    edit     
    config sip
    set ssl-mode full
    set ssl-min-version tls-1.0
    Fortimail:
    Code:
     
     config system global
     set strong-crypto enable
     end
    FortiADC-E:
    Code:
    System->Load Balance->Clusters->Security->SSL: Entfernen der Checkbox "Allow SSLv3"
    FortiDDos:
    Upgrade auf 4.1.3
    FortiWeb:
    Upgrade auf 5.3.2 oder 5.2.4 und folgende Schritte in der CLI:
    Code:
    config system advanced
    set no-sslv3 enable
    end
    config system global
    set no-sslv3 enable
    end
    Sollten noch Fragen sein könnt Ihr mich gerne Kontaktieren.
    LG Alex
Lädt...
X