Перейти к содержимому
Калькуляторы

CIsco SSL

Доброе время суток друзья! Нужна Ваша помощь.

Служба безопасности просканировала нашу сеть, и на всех коммутаторах обнаружены следующие уязвимости:

 

SSL Certificate Cannot Be Trusted

SSL Self-Signed Certificate

SSL Version 2 and 3 Protocol Detection

SSL Medium Strength Cipher Suites Supported

SSL RC4 Cipher Suites Supported

SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE)

SSL/TLS Diffie-Hellman Modulus <= 1024 Bits (Logjam)

 

Подскажите как можно исправить, или может вообще попробовать отключить SSL.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SSL Certificate Cannot Be Trusted

SSL Self-Signed Certificate

 

Тут как бы все и понятно) Just translate

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SSL Certificate Cannot Be Trusted

SSL Self-Signed Certificate

 

Тут как бы все и понятно) Just translate

Именно эти 2 строчки можно пропустить. Думал изначально их не писать, но подумал может связь есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SSL Certificate Cannot Be Trusted

SSL Self-Signed Certificate

Самоподписанные сертификаты на коммутаторах.

Если есть собственный CA - генерьте и устанавливайте сертификаты с его подписью.

Как - смотри документацию к коммутаторам.

SSL Version 2 and 3 Protocol Detection

SSL Medium Strength Cipher Suites Supported

SSL RC4 Cipher Suites Supported

SSL/TLS Diffie-Hellman Modulus <= 1024 Bits (Logjam)

Ругается на старые версии протоколов и неотключенное слабое шифрвание.

Настраивается ли это и если да - как, опять же смотри документацию.

SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE)

По этому пункту ИМХО разве что обновление прошивки поможет.

 

 

На отключение SSL СБ может возбудиться ещё сильнее, ведь telnet вообще без шифрования.

ИМХО проще "отбиться" от СБ, зафильтровав доступ к интерфейсам управления коммутаторов.

Но люди попадаются разные, а безопасники - вообще часто отдельная печальная тема...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 и 2 Это не уязвимость вообще. И никакого отношения к уязвимости с вероятностью 99.9999% не имеет. Всего лишь самоподписанные сертификаты.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Параллельно ищу информацию, читаю. Сроки поджимают если есть специалисты по cisco может кто знает как сменить SSL на TLS и поможет ли это

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

они это на вебморде нашли? ну так просто отключите https- и http-сервисы. веб-управление свитчами не нужно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я уже так и сделал, жду ответа от них, спасибо, перезвонят отпишусь

 

Не помогло....остались те же сообщения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну вообще, управление должно быть скрыто по IP извне и от абонентов. единственное, что будет нормально, если они свой сканер засунули в mgmt-сеть. а иначе, пора вам думать над политиками безопасности

 

спросите на каком это tcp порту всё находится

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прошу прощения после отключение http-secure все пропало, спасибо большое за помощь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

alishka

так всё же, у вас на свитчах белые ip или же они вас из mgmt/абонентской сети сканировали?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

s.lobanov из mgmt сети

Изменено пользователем alishka

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отключите вашу службу безопасности и сообщений больше от них не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отключите вашу службу безопасности и сообщений больше от них не будет.

 

зачем? они делают правильное дело, заставляют закрыть всё что не нужно и/или имеет явные уязвимости

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отключите вашу службу безопасности и сообщений больше от них не будет.

 

зачем? они делают правильное дело, заставляют закрыть всё что не нужно и/или имеет явные уязвимости

Есть подозрение, что полезность IT безопасников на уровне полезности HR. Тоесть какбэ они есть - хорошо, нет - а зачем они нужны собственно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

зачем? они делают правильное дело, заставляют закрыть всё что не нужно и/или имеет явные уязвимости

Вот в том то и дело, что явные уязвимости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть подозрение, что полезность IT безопасников на уровне полезности HR. Тоесть какбэ они есть - хорошо, нет - а зачем они нужны собственно?

Вам так кажется, хотя я видел безопасника из одной зеленой денежной организации, который думал что DoS-атака, это атака из оболочки Dos, а пакеты udp используются исключительно для аутентификации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Служба безопасности просканировала нашу сеть, и на всех коммутаторах обнаружены следующие уязвимости: SSL Certificate Cannot Be Trusted SSL Self-Signed Certificate SSL Version 2 and 3 Protocol Detection SSL Medium Strength Cipher Suites Supported SSL RC4 Cipher Suites Supported SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE) SSL/TLS Diffie-Hellman Modulus <= 1024 Bits (Logjam)

Это не уязвимости.

 

Подскажите как можно исправить, или может вообще попробовать отключить SSL.

Купить новые свичи в которых есть TLS 1.2 или выносить мозг чтобы обновили прошивку, потом в организации нужно будет поднять свой центр сертификации, сгенерировать корневой сертификат, нагенерировать по сертификату каждой железке и поставить их в железки.

А публичный корневой серт поставить на все компы.

 

Но в целом смысла в этом мало.

1. манагемент сеть в принципе изолированная

2. на коммутаторы ходят относительно редко

3. веб интерфейсом в провайдинге пользуются редко

 

Я бы скорее смотрел как настроен SNMP и ssh или вообще может telnet включён.

 

Есть подозрение, что полезность IT безопасников на уровне полезности HR.

Проблема не в безопасниках или HR, проблема в том чтобы найти толковых спецов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 и 2 Это не уязвимость вообще. И никакого отношения к уязвимости с вероятностью 99.9999% не имеет. Всего лишь самоподписанные сертификаты.

 

Только в том случае, если сторона клиента доверяет этим самоподписанным сертификатам. Если нет - то дырища для рыбалки с подменой сертификата еще та. :) Как показывает опыт, никто никогда не проверяет "отпечаток" при нажатии кнопки "доверяю".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть подозрение, что полезность IT безопасников на уровне полезности HR. Тоесть какбэ они есть - хорошо, нет - а зачем они нужны собственно?

Вам так кажется, хотя я видел безопасника из одной зеленой денежной организации, который думал что DoS-атака, это атака из оболочки Dos, а пакеты udp используются исключительно для аутентификации.

Ну кабэ я сам безопасником работал. Достаточно долгое время.

Ценность сей профессии приближается к нулю.

 

Если есть инфа которая может утечь - она утечет. Защититься от человеческого фактора нельзя никакими средствами.

Если админ может наоставлять дыр в системе он их обязательно наоставляет. Итд итп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.