SSLv3 Poddle bei Fortinet Produkten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • SSLv3 Poddle bei Fortinet Produkten

    Die "Poodle" Lücke, wird als eine schwerwiegende Sicherheitslücke bei Internet Verbindungen bezeichnet. Welche private Daten von Servern und Clients in der Verbindung auslesen können.
    Es wird bei diesen "Man in the middle Angriffen" erzwungen das nicht TLS 1.2 / 1.1 oder 1.0 verwendet wird, sondern dass das alte Protokoll SSL 3.0 verwendet wird. relative simpels SSL 3.0 Fallback.

    Am besten schaltet Ihr bei den Webbrowser auf euren PC SSL 3.0 aus:
    • Version 34 des Mozilla Firefox-Browsers deaktiviert SSL 3.0. In älteren Firefox-Versionen (sowie in Mozilla Thunderbird und SeaMonkey) muss unter about:config die Einstellung "security.tls.version.min" auf den Wert "1" gesetzt werden.
    • In Google Chrome und Chromium wird SSL 3.0 manuell auf der Kommandozeile mit dem Parameter -ssl-version-min=tls1 abgeschaltet. Ab Version 40 kann der Browser Chrome ohne diese Parameter-Eingabe abgesichert betrieben werden.
    • Im Internet Explorer muss unter "Internetoptionen" > "Erweitert" > "Sicherheit" der Haken bei "SSL 3 verwenden" entfernt werden. Lediglich der ursprünglich mit Windows XP ausgelieferte Browser Internet Explorer 6 unterstützt das nachfolgende TLS 1.0 noch nicht.

    Quelle: Wikipedia


    Die genaue Sicherheitslücke wird auf folgenden zwei Links erklärt:

    NVD - Detail
    NVD - Detail

    Wir schauen uns aber nun ab, was bei Fortinet Produkten zu machen ist um diese Problematik direkt Serverseitig zu lösen:

    Betroffene Produkte:
    Fortigate, Fortimail, Fortianalyzer, Fortimanager, FortiAuthenicator nur v3.0, Fortiweb, FortiDDos bis v4.1.3,FortiADC-D, FortiClient, FortiVoice, FortiRecorder, FortiDB, FortiSwitch

    Bei allen oben genannten FortiOS Produkten ist folgendes via CLI einzugeben:

    Quellcode

    1. config system global
    2. set strong-crypto enable
    3. end


    Für VIP Load Balance:

    Quellcode

    1. config firewall vip
    2. edit "your_vip"
    3. set ssl-min-version tls-1.0
    4. end


    Für WanOptimizer:

    Quellcode

    1. config wanopt ssl-server
    2. edit <profile>
    3. set ssl-min-version tls-1.0
    4. end


    For SIP SSL (Nur bei grösseren Geräte):

    Quellcode

    1. config voip profile
    2. edit <profile>
    3. config sip
    4. set ssl-mode full
    5. set ssl-min-version tls-1.0


    Fortimail:

    Quellcode

    1. config system global
    2. set strong-crypto enable
    3. end


    FortiADC-E:

    Quellcode

    1. System->Load Balance->Clusters->Security->SSL: Entfernen der Checkbox "Allow SSLv3"


    FortiDDos:
    Upgrade auf 4.1.3

    FortiWeb:
    Upgrade auf 5.3.2 oder 5.2.4 und folgende Schritte in der CLI:

    Quellcode

    1. config system advanced
    2. set no-sslv3 enable
    3. end
    4. config system global
    5. set no-sslv3 enable
    6. end


    Sollten noch Fragen sein könnt Ihr mich gerne Kontaktieren.

    LG Alex


    Wenn "Server" eine Religion ist, haben wir die passende Kathedrale dazu!
    Mehr Infos unter www.fsit.com oder Facebook