Härtung und Konfiguration von Cipher Suites und SSL/TLS Protokoll
Konfiguration der SSL/TLS Protokolle für die Admin-GUI und SSL-VPN
Der erste Ansatz zur Sicherung der Fortigate ist die ausschließliche Verwendung der aktuellsten SSL/TLS Protokolle. Hierzu schränkt man die Verwendung auf ausschließlich TLS 1.2 ein. Zusätzlich sollte man den Parameter für starke Kryptographie aktivieren.
config system global set admin-https-ssl-versions tlsv1-2 set strong-crypto enable end
Im nächsten Schritt konfiguriert man die SSL-VPN Einstellungen. Im Gegensatz zu den globalen Systemeinstellungen werden hier nicht die zu verwendeten Komponenten konfiguriert, sondern die auszuschließenden. Zusätzlich sollten die Algorithmen auf high gestellt werden.
config vpn ssl settings set sslv3 disable set tlsv1-0 disable set tlsv1-1 disable set algorithm high end
Cipher Suites für SSL-VPN
Bis FortiOS Versionen < 5.4.0 war es nicht möglich, einzelne Ciphers wie z.B. 3DES administrativ zu deaktivieren. Ab FortiOS 5.4.0 ist dies möglich. Analog zu den SSL/TLS Einstellungen für SSL-VPN gilt auch für die Cipher Suites das Ausschlussprinzip.
3DES ist z.B. von der Birthday Attack Schwachstelle (CVE-2016-2183) betroffen und sollte daher deaktiviert werden.
config vpn ssl settings set banned-cipher 3DES end
Eine vollständige Liste aller Ciphers, Hashes, Key-Exchanges und Signatures, die deaktiviert werden können, sind wie folgt zu finden:
config vpn ssl settings set banned-cipher ? RSA Ban the use of cipher suites using RSA key. DH Ban the use of cipher suites using DH. DHE Ban the use of cipher suites using authenticated ephemeral DH key agreement. ECDH Ban the use of cipher suites using ECDH key exchange. ECDHE Ban the use of cipher suites using authenticated ephemeral ECDH key agreement. DSS Ban the use of cipher suites using DSS authentication. ECDSA Ban the use of cipher suites using ECDSA authentication. AES Ban the use of cipher suites using either 128 or 256 bit AES. AESGCM Ban the use of cipher suites AES in Galois Counter Mode (GCM). CAMELLIA Ban the use of cipher suites using either 128 or 256 bit CAMELLIA. 3DES Ban the use of cipher suites using triple DES SHA1 Ban the use of cipher suites using SHA1. SHA256 Ban the use of cipher suites using SHA256. SHA384 Ban the use of cipher suites using SHA384.
Feature verfügbar seit: 5.4.0
Feature verfügbar bis: n/a