Jump to content
Калькуляторы

CIsco SSL

Доброе время суток друзья! Нужна Ваша помощь.

Служба безопасности просканировала нашу сеть, и на всех коммутаторах обнаружены следующие уязвимости:

 

SSL Certificate Cannot Be Trusted

SSL Self-Signed Certificate

SSL Version 2 and 3 Protocol Detection

SSL Medium Strength Cipher Suites Supported

SSL RC4 Cipher Suites Supported

SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE)

SSL/TLS Diffie-Hellman Modulus <= 1024 Bits (Logjam)

 

Подскажите как можно исправить, или может вообще попробовать отключить SSL.

Share this post


Link to post
Share on other sites

SSL Certificate Cannot Be Trusted

SSL Self-Signed Certificate

 

Тут как бы все и понятно) Just translate

Share this post


Link to post
Share on other sites

SSL Certificate Cannot Be Trusted

SSL Self-Signed Certificate

 

Тут как бы все и понятно) Just translate

Именно эти 2 строчки можно пропустить. Думал изначально их не писать, но подумал может связь есть.

Share this post


Link to post
Share on other sites

SSL Certificate Cannot Be Trusted

SSL Self-Signed Certificate

Самоподписанные сертификаты на коммутаторах.

Если есть собственный CA - генерьте и устанавливайте сертификаты с его подписью.

Как - смотри документацию к коммутаторам.

SSL Version 2 and 3 Protocol Detection

SSL Medium Strength Cipher Suites Supported

SSL RC4 Cipher Suites Supported

SSL/TLS Diffie-Hellman Modulus <= 1024 Bits (Logjam)

Ругается на старые версии протоколов и неотключенное слабое шифрвание.

Настраивается ли это и если да - как, опять же смотри документацию.

SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE)

По этому пункту ИМХО разве что обновление прошивки поможет.

 

 

На отключение SSL СБ может возбудиться ещё сильнее, ведь telnet вообще без шифрования.

ИМХО проще "отбиться" от СБ, зафильтровав доступ к интерфейсам управления коммутаторов.

Но люди попадаются разные, а безопасники - вообще часто отдельная печальная тема...

Share this post


Link to post
Share on other sites

1 и 2 Это не уязвимость вообще. И никакого отношения к уязвимости с вероятностью 99.9999% не имеет. Всего лишь самоподписанные сертификаты.

Share this post


Link to post
Share on other sites

Параллельно ищу информацию, читаю. Сроки поджимают если есть специалисты по cisco может кто знает как сменить SSL на TLS и поможет ли это

Share this post


Link to post
Share on other sites

они это на вебморде нашли? ну так просто отключите https- и http-сервисы. веб-управление свитчами не нужно

Share this post


Link to post
Share on other sites

Я уже так и сделал, жду ответа от них, спасибо, перезвонят отпишусь

 

Не помогло....остались те же сообщения.

Share this post


Link to post
Share on other sites

ну вообще, управление должно быть скрыто по IP извне и от абонентов. единственное, что будет нормально, если они свой сканер засунули в mgmt-сеть. а иначе, пора вам думать над политиками безопасности

 

спросите на каком это tcp порту всё находится

Share this post


Link to post
Share on other sites

Прошу прощения после отключение http-secure все пропало, спасибо большое за помощь.

Share this post


Link to post
Share on other sites

alishka

так всё же, у вас на свитчах белые ip или же они вас из mgmt/абонентской сети сканировали?

Share this post


Link to post
Share on other sites

s.lobanov из mgmt сети

Edited by alishka

Share this post


Link to post
Share on other sites

Отключите вашу службу безопасности и сообщений больше от них не будет.

Share this post


Link to post
Share on other sites

Отключите вашу службу безопасности и сообщений больше от них не будет.

 

зачем? они делают правильное дело, заставляют закрыть всё что не нужно и/или имеет явные уязвимости

Share this post


Link to post
Share on other sites

Отключите вашу службу безопасности и сообщений больше от них не будет.

 

зачем? они делают правильное дело, заставляют закрыть всё что не нужно и/или имеет явные уязвимости

Есть подозрение, что полезность IT безопасников на уровне полезности HR. Тоесть какбэ они есть - хорошо, нет - а зачем они нужны собственно?

Share this post


Link to post
Share on other sites

зачем? они делают правильное дело, заставляют закрыть всё что не нужно и/или имеет явные уязвимости

Вот в том то и дело, что явные уязвимости.

Share this post


Link to post
Share on other sites
Есть подозрение, что полезность IT безопасников на уровне полезности HR. Тоесть какбэ они есть - хорошо, нет - а зачем они нужны собственно?

Вам так кажется, хотя я видел безопасника из одной зеленой денежной организации, который думал что DoS-атака, это атака из оболочки Dos, а пакеты udp используются исключительно для аутентификации.

Share this post


Link to post
Share on other sites
Служба безопасности просканировала нашу сеть, и на всех коммутаторах обнаружены следующие уязвимости: SSL Certificate Cannot Be Trusted SSL Self-Signed Certificate SSL Version 2 and 3 Protocol Detection SSL Medium Strength Cipher Suites Supported SSL RC4 Cipher Suites Supported SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE) SSL/TLS Diffie-Hellman Modulus <= 1024 Bits (Logjam)

Это не уязвимости.

 

Подскажите как можно исправить, или может вообще попробовать отключить SSL.

Купить новые свичи в которых есть TLS 1.2 или выносить мозг чтобы обновили прошивку, потом в организации нужно будет поднять свой центр сертификации, сгенерировать корневой сертификат, нагенерировать по сертификату каждой железке и поставить их в железки.

А публичный корневой серт поставить на все компы.

 

Но в целом смысла в этом мало.

1. манагемент сеть в принципе изолированная

2. на коммутаторы ходят относительно редко

3. веб интерфейсом в провайдинге пользуются редко

 

Я бы скорее смотрел как настроен SNMP и ssh или вообще может telnet включён.

 

Есть подозрение, что полезность IT безопасников на уровне полезности HR.

Проблема не в безопасниках или HR, проблема в том чтобы найти толковых спецов.

Share this post


Link to post
Share on other sites

1 и 2 Это не уязвимость вообще. И никакого отношения к уязвимости с вероятностью 99.9999% не имеет. Всего лишь самоподписанные сертификаты.

 

Только в том случае, если сторона клиента доверяет этим самоподписанным сертификатам. Если нет - то дырища для рыбалки с подменой сертификата еще та. :) Как показывает опыт, никто никогда не проверяет "отпечаток" при нажатии кнопки "доверяю".

Share this post


Link to post
Share on other sites
Есть подозрение, что полезность IT безопасников на уровне полезности HR. Тоесть какбэ они есть - хорошо, нет - а зачем они нужны собственно?

Вам так кажется, хотя я видел безопасника из одной зеленой денежной организации, который думал что DoS-атака, это атака из оболочки Dos, а пакеты udp используются исключительно для аутентификации.

Ну кабэ я сам безопасником работал. Достаточно долгое время.

Ценность сей профессии приближается к нулю.

 

Если есть инфа которая может утечь - она утечет. Защититься от человеческого фактора нельзя никакими средствами.

Если админ может наоставлять дыр в системе он их обязательно наоставляет. Итд итп.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this