blog.andreas-schreiner.de

Wissen ist Macht. Nichts wissen macht nichts.

Härtung und Konfiguration von Cipher Suites und SSL/TLS Protokoll

von · Veröffentlicht · Aktualisiert

Konfiguration der SSL/TLS Protokolle für die Admin-GUI und SSL-VPN

Der erste Ansatz zur Sicherung der Fortigate ist die ausschließliche Verwendung der aktuellsten SSL/TLS Protokolle. Hierzu schränkt man die Verwendung auf ausschließlich TLS 1.2 ein. Zusätzlich sollte man den Parameter für starke Kryptographie aktivieren.

config system global
  set admin-https-ssl-versions tlsv1-2
  set strong-crypto enable
end

Im nächsten Schritt konfiguriert man die SSL-VPN Einstellungen. Im Gegensatz zu den globalen Systemeinstellungen werden hier nicht die zu verwendeten Komponenten konfiguriert, sondern die auszuschließenden. Zusätzlich sollten die Algorithmen auf high gestellt werden.

config vpn ssl settings
  set sslv3 disable
  set tlsv1-0 disable
  set tlsv1-1 disable
  set algorithm high
end
Cipher Suites für SSL-VPN

Bis FortiOS Versionen < 5.4.0 war es nicht möglich, einzelne Ciphers wie z.B. 3DES administrativ zu deaktivieren. Ab FortiOS 5.4.0 ist dies möglich. Analog zu den SSL/TLS Einstellungen für SSL-VPN gilt auch für die Cipher Suites das Ausschlussprinzip.

3DES  ist z.B. von der Birthday Attack Schwachstelle (CVE-2016-2183) betroffen und sollte daher deaktiviert werden.

config vpn ssl settings
  set banned-cipher 3DES
end

Eine vollständige Liste aller Ciphers, Hashes, Key-Exchanges und Signatures, die deaktiviert werden können, sind wie folgt zu finden:

config vpn ssl settings
  set banned-cipher ?

  RSA       Ban the use of cipher suites using RSA key.
  DH        Ban the use of cipher suites using DH.
  DHE       Ban the use of cipher suites using authenticated ephemeral DH key agreement.
  ECDH      Ban the use of cipher suites using ECDH key exchange.
  ECDHE     Ban the use of cipher suites using authenticated ephemeral ECDH key agreement.
  DSS       Ban the use of cipher suites using DSS authentication.
  ECDSA     Ban the use of cipher suites using ECDSA authentication.
  AES       Ban the use of cipher suites using either 128 or 256 bit AES.
  AESGCM    Ban the use of cipher suites AES in Galois Counter Mode (GCM).
  CAMELLIA  Ban the use of cipher suites using either 128 or 256 bit CAMELLIA.
  3DES      Ban the use of cipher suites using triple DES
  SHA1      Ban the use of cipher suites using SHA1.
  SHA256    Ban the use of cipher suites using SHA256.
  SHA384    Ban the use of cipher suites using SHA384.

Feature verfügbar seit: 5.4.0
Feature verfügbar bis: n/a

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.