alishka Posted July 14, 2015 Posted July 14, 2015 Доброе время суток друзья! Нужна Ваша помощь. Служба безопасности просканировала нашу сеть, и на всех коммутаторах обнаружены следующие уязвимости: SSL Certificate Cannot Be Trusted SSL Self-Signed Certificate SSL Version 2 and 3 Protocol Detection SSL Medium Strength Cipher Suites Supported SSL RC4 Cipher Suites Supported SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE) SSL/TLS Diffie-Hellman Modulus <= 1024 Bits (Logjam) Подскажите как можно исправить, или может вообще попробовать отключить SSL. Вставить ник Quote
MonaxGT Posted July 14, 2015 Posted July 14, 2015 SSL Certificate Cannot Be Trusted SSL Self-Signed Certificate Тут как бы все и понятно) Just translate Вставить ник Quote
alishka Posted July 14, 2015 Author Posted July 14, 2015 SSL Certificate Cannot Be Trusted SSL Self-Signed Certificate Тут как бы все и понятно) Just translate Именно эти 2 строчки можно пропустить. Думал изначально их не писать, но подумал может связь есть. Вставить ник Quote
azhur Posted July 14, 2015 Posted July 14, 2015 SSL Certificate Cannot Be Trusted SSL Self-Signed Certificate Самоподписанные сертификаты на коммутаторах.Если есть собственный CA - генерьте и устанавливайте сертификаты с его подписью. Как - смотри документацию к коммутаторам. SSL Version 2 and 3 Protocol Detection SSL Medium Strength Cipher Suites Supported SSL RC4 Cipher Suites Supported SSL/TLS Diffie-Hellman Modulus <= 1024 Bits (Logjam) Ругается на старые версии протоколов и неотключенное слабое шифрвание.Настраивается ли это и если да - как, опять же смотри документацию. SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE) По этому пункту ИМХО разве что обновление прошивки поможет. На отключение SSL СБ может возбудиться ещё сильнее, ведь telnet вообще без шифрования. ИМХО проще "отбиться" от СБ, зафильтровав доступ к интерфейсам управления коммутаторов. Но люди попадаются разные, а безопасники - вообще часто отдельная печальная тема... Вставить ник Quote
myst Posted July 14, 2015 Posted July 14, 2015 1 и 2 Это не уязвимость вообще. И никакого отношения к уязвимости с вероятностью 99.9999% не имеет. Всего лишь самоподписанные сертификаты. Вставить ник Quote
alishka Posted July 14, 2015 Author Posted July 14, 2015 Параллельно ищу информацию, читаю. Сроки поджимают если есть специалисты по cisco может кто знает как сменить SSL на TLS и поможет ли это Вставить ник Quote
s.lobanov Posted July 14, 2015 Posted July 14, 2015 они это на вебморде нашли? ну так просто отключите https- и http-сервисы. веб-управление свитчами не нужно Вставить ник Quote
alishka Posted July 14, 2015 Author Posted July 14, 2015 Я уже так и сделал, жду ответа от них, спасибо, перезвонят отпишусь Не помогло....остались те же сообщения. Вставить ник Quote
s.lobanov Posted July 14, 2015 Posted July 14, 2015 ну вообще, управление должно быть скрыто по IP извне и от абонентов. единственное, что будет нормально, если они свой сканер засунули в mgmt-сеть. а иначе, пора вам думать над политиками безопасности спросите на каком это tcp порту всё находится Вставить ник Quote
alishka Posted July 14, 2015 Author Posted July 14, 2015 Прошу прощения после отключение http-secure все пропало, спасибо большое за помощь. Вставить ник Quote
s.lobanov Posted July 14, 2015 Posted July 14, 2015 alishka так всё же, у вас на свитчах белые ip или же они вас из mgmt/абонентской сети сканировали? Вставить ник Quote
alishka Posted July 14, 2015 Author Posted July 14, 2015 (edited) s.lobanov из mgmt сети Edited July 14, 2015 by alishka Вставить ник Quote
Chrst Posted July 14, 2015 Posted July 14, 2015 Отключите вашу службу безопасности и сообщений больше от них не будет. Вставить ник Quote
s.lobanov Posted July 14, 2015 Posted July 14, 2015 Отключите вашу службу безопасности и сообщений больше от них не будет. зачем? они делают правильное дело, заставляют закрыть всё что не нужно и/или имеет явные уязвимости Вставить ник Quote
myst Posted July 14, 2015 Posted July 14, 2015 Отключите вашу службу безопасности и сообщений больше от них не будет. зачем? они делают правильное дело, заставляют закрыть всё что не нужно и/или имеет явные уязвимости Есть подозрение, что полезность IT безопасников на уровне полезности HR. Тоесть какбэ они есть - хорошо, нет - а зачем они нужны собственно? Вставить ник Quote
Chrst Posted July 14, 2015 Posted July 14, 2015 зачем? они делают правильное дело, заставляют закрыть всё что не нужно и/или имеет явные уязвимости Вот в том то и дело, что явные уязвимости. Вставить ник Quote
MonaxGT Posted July 14, 2015 Posted July 14, 2015 Есть подозрение, что полезность IT безопасников на уровне полезности HR. Тоесть какбэ они есть - хорошо, нет - а зачем они нужны собственно? Вам так кажется, хотя я видел безопасника из одной зеленой денежной организации, который думал что DoS-атака, это атака из оболочки Dos, а пакеты udp используются исключительно для аутентификации. Вставить ник Quote
Ivan_83 Posted July 14, 2015 Posted July 14, 2015 Служба безопасности просканировала нашу сеть, и на всех коммутаторах обнаружены следующие уязвимости: SSL Certificate Cannot Be Trusted SSL Self-Signed Certificate SSL Version 2 and 3 Protocol Detection SSL Medium Strength Cipher Suites Supported SSL RC4 Cipher Suites Supported SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE) SSL/TLS Diffie-Hellman Modulus <= 1024 Bits (Logjam) Это не уязвимости. Подскажите как можно исправить, или может вообще попробовать отключить SSL. Купить новые свичи в которых есть TLS 1.2 или выносить мозг чтобы обновили прошивку, потом в организации нужно будет поднять свой центр сертификации, сгенерировать корневой сертификат, нагенерировать по сертификату каждой железке и поставить их в железки. А публичный корневой серт поставить на все компы. Но в целом смысла в этом мало. 1. манагемент сеть в принципе изолированная 2. на коммутаторы ходят относительно редко 3. веб интерфейсом в провайдинге пользуются редко Я бы скорее смотрел как настроен SNMP и ssh или вообще может telnet включён. Есть подозрение, что полезность IT безопасников на уровне полезности HR. Проблема не в безопасниках или HR, проблема в том чтобы найти толковых спецов. Вставить ник Quote
vop Posted July 15, 2015 Posted July 15, 2015 1 и 2 Это не уязвимость вообще. И никакого отношения к уязвимости с вероятностью 99.9999% не имеет. Всего лишь самоподписанные сертификаты. Только в том случае, если сторона клиента доверяет этим самоподписанным сертификатам. Если нет - то дырища для рыбалки с подменой сертификата еще та. :) Как показывает опыт, никто никогда не проверяет "отпечаток" при нажатии кнопки "доверяю". Вставить ник Quote
myst Posted July 16, 2015 Posted July 16, 2015 Есть подозрение, что полезность IT безопасников на уровне полезности HR. Тоесть какбэ они есть - хорошо, нет - а зачем они нужны собственно? Вам так кажется, хотя я видел безопасника из одной зеленой денежной организации, который думал что DoS-атака, это атака из оболочки Dos, а пакеты udp используются исключительно для аутентификации. Ну кабэ я сам безопасником работал. Достаточно долгое время. Ценность сей профессии приближается к нулю. Если есть инфа которая может утечь - она утечет. Защититься от человеческого фактора нельзя никакими средствами. Если админ может наоставлять дыр в системе он их обязательно наоставляет. Итд итп. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.