alishka Опубликовано 14 июля, 2015 · Жалоба Доброе время суток друзья! Нужна Ваша помощь. Служба безопасности просканировала нашу сеть, и на всех коммутаторах обнаружены следующие уязвимости: SSL Certificate Cannot Be Trusted SSL Self-Signed Certificate SSL Version 2 and 3 Protocol Detection SSL Medium Strength Cipher Suites Supported SSL RC4 Cipher Suites Supported SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE) SSL/TLS Diffie-Hellman Modulus <= 1024 Bits (Logjam) Подскажите как можно исправить, или может вообще попробовать отключить SSL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MonaxGT Опубликовано 14 июля, 2015 · Жалоба SSL Certificate Cannot Be Trusted SSL Self-Signed Certificate Тут как бы все и понятно) Just translate Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alishka Опубликовано 14 июля, 2015 · Жалоба SSL Certificate Cannot Be Trusted SSL Self-Signed Certificate Тут как бы все и понятно) Just translate Именно эти 2 строчки можно пропустить. Думал изначально их не писать, но подумал может связь есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 14 июля, 2015 · Жалоба SSL Certificate Cannot Be Trusted SSL Self-Signed Certificate Самоподписанные сертификаты на коммутаторах.Если есть собственный CA - генерьте и устанавливайте сертификаты с его подписью. Как - смотри документацию к коммутаторам. SSL Version 2 and 3 Protocol Detection SSL Medium Strength Cipher Suites Supported SSL RC4 Cipher Suites Supported SSL/TLS Diffie-Hellman Modulus <= 1024 Bits (Logjam) Ругается на старые версии протоколов и неотключенное слабое шифрвание.Настраивается ли это и если да - как, опять же смотри документацию. SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE) По этому пункту ИМХО разве что обновление прошивки поможет. На отключение SSL СБ может возбудиться ещё сильнее, ведь telnet вообще без шифрования. ИМХО проще "отбиться" от СБ, зафильтровав доступ к интерфейсам управления коммутаторов. Но люди попадаются разные, а безопасники - вообще часто отдельная печальная тема... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 14 июля, 2015 · Жалоба 1 и 2 Это не уязвимость вообще. И никакого отношения к уязвимости с вероятностью 99.9999% не имеет. Всего лишь самоподписанные сертификаты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alishka Опубликовано 14 июля, 2015 · Жалоба Параллельно ищу информацию, читаю. Сроки поджимают если есть специалисты по cisco может кто знает как сменить SSL на TLS и поможет ли это Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 14 июля, 2015 · Жалоба они это на вебморде нашли? ну так просто отключите https- и http-сервисы. веб-управление свитчами не нужно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alishka Опубликовано 14 июля, 2015 · Жалоба Я уже так и сделал, жду ответа от них, спасибо, перезвонят отпишусь Не помогло....остались те же сообщения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 14 июля, 2015 · Жалоба ну вообще, управление должно быть скрыто по IP извне и от абонентов. единственное, что будет нормально, если они свой сканер засунули в mgmt-сеть. а иначе, пора вам думать над политиками безопасности спросите на каком это tcp порту всё находится Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alishka Опубликовано 14 июля, 2015 · Жалоба Прошу прощения после отключение http-secure все пропало, спасибо большое за помощь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 14 июля, 2015 · Жалоба alishka так всё же, у вас на свитчах белые ip или же они вас из mgmt/абонентской сети сканировали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alishka Опубликовано 14 июля, 2015 (изменено) · Жалоба s.lobanov из mgmt сети Изменено 14 июля, 2015 пользователем alishka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chrst Опубликовано 14 июля, 2015 · Жалоба Отключите вашу службу безопасности и сообщений больше от них не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 14 июля, 2015 · Жалоба Отключите вашу службу безопасности и сообщений больше от них не будет. зачем? они делают правильное дело, заставляют закрыть всё что не нужно и/или имеет явные уязвимости Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 14 июля, 2015 · Жалоба Отключите вашу службу безопасности и сообщений больше от них не будет. зачем? они делают правильное дело, заставляют закрыть всё что не нужно и/или имеет явные уязвимости Есть подозрение, что полезность IT безопасников на уровне полезности HR. Тоесть какбэ они есть - хорошо, нет - а зачем они нужны собственно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chrst Опубликовано 14 июля, 2015 · Жалоба зачем? они делают правильное дело, заставляют закрыть всё что не нужно и/или имеет явные уязвимости Вот в том то и дело, что явные уязвимости. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MonaxGT Опубликовано 14 июля, 2015 · Жалоба Есть подозрение, что полезность IT безопасников на уровне полезности HR. Тоесть какбэ они есть - хорошо, нет - а зачем они нужны собственно? Вам так кажется, хотя я видел безопасника из одной зеленой денежной организации, который думал что DoS-атака, это атака из оболочки Dos, а пакеты udp используются исключительно для аутентификации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 14 июля, 2015 · Жалоба Служба безопасности просканировала нашу сеть, и на всех коммутаторах обнаружены следующие уязвимости: SSL Certificate Cannot Be Trusted SSL Self-Signed Certificate SSL Version 2 and 3 Protocol Detection SSL Medium Strength Cipher Suites Supported SSL RC4 Cipher Suites Supported SSLv3 Padding Oracle On Downgraded Legacy Encryption Vulnerability (POODLE) SSL/TLS Diffie-Hellman Modulus <= 1024 Bits (Logjam) Это не уязвимости. Подскажите как можно исправить, или может вообще попробовать отключить SSL. Купить новые свичи в которых есть TLS 1.2 или выносить мозг чтобы обновили прошивку, потом в организации нужно будет поднять свой центр сертификации, сгенерировать корневой сертификат, нагенерировать по сертификату каждой железке и поставить их в железки. А публичный корневой серт поставить на все компы. Но в целом смысла в этом мало. 1. манагемент сеть в принципе изолированная 2. на коммутаторы ходят относительно редко 3. веб интерфейсом в провайдинге пользуются редко Я бы скорее смотрел как настроен SNMP и ssh или вообще может telnet включён. Есть подозрение, что полезность IT безопасников на уровне полезности HR. Проблема не в безопасниках или HR, проблема в том чтобы найти толковых спецов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 15 июля, 2015 · Жалоба 1 и 2 Это не уязвимость вообще. И никакого отношения к уязвимости с вероятностью 99.9999% не имеет. Всего лишь самоподписанные сертификаты. Только в том случае, если сторона клиента доверяет этим самоподписанным сертификатам. Если нет - то дырища для рыбалки с подменой сертификата еще та. :) Как показывает опыт, никто никогда не проверяет "отпечаток" при нажатии кнопки "доверяю". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 16 июля, 2015 · Жалоба Есть подозрение, что полезность IT безопасников на уровне полезности HR. Тоесть какбэ они есть - хорошо, нет - а зачем они нужны собственно? Вам так кажется, хотя я видел безопасника из одной зеленой денежной организации, который думал что DoS-атака, это атака из оболочки Dos, а пакеты udp используются исключительно для аутентификации. Ну кабэ я сам безопасником работал. Достаточно долгое время. Ценность сей профессии приближается к нулю. Если есть инфа которая может утечь - она утечет. Защититься от человеческого фактора нельзя никакими средствами. Если админ может наоставлять дыр в системе он их обязательно наоставляет. Итд итп. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...