Сообщения без ответов | Активные темы Текущее время: 09 июл 2020, 02:47



Ответить на тему  [ Сообщений: 8 ] 
ASA.Шифрование для Anyconnect. 
Автор Сообщение

Зарегистрирован: 26 фев 2016, 14:56
Сообщения: 36
Добрый день!
Товарищи, далек от вопроса шифрования.В общем вопрос следующий, возможно, профи меня направят.
Есть ASA 5510. Настроена по подключение клиентов через anyconnect.Подключение настроено на пароль / сертификат.
Код:
tunnel-group VPN_CONN_GROUP webvpn-attributes
authentication aaa certificate

Сертификаты генерировались на самой ASA и раздавались удаленным клиентам.
В общем сегодня пришло письмо вида:
Код:
По каналам Национального координационного центра по компьютерным инцидентам получены сведения о признаках наличия уязвимых ресурсов (CVE-2014-3566), расположенных в вашем адресном пространстве.
Перечень ресурсов прилагаем: Уязвимость существует в протоколе SSL для OpenSSL из-за использования недетерминированного заполнения для CBC-шифрования (сцепление блоков шифротекста).

В общем, я так полагаю проблема уязвимости связана именно с сертификатами, которые были сгенерированы на ASA.
Честно говоря, не вижу решения.
Прошивка - я так полагаю мне не поможет. Возможно в последней версии прошивки что-то изменилось?
Изменить политику подключения для удаленных клиентов? На что?
Новое оборудование?
Спасибо! Сильно помидорами не закидывайте.


22 июн 2020, 11:34
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1098
Ваша АСА уже давно как мертва как продукт и является решетом т.е. там есть уязвимости - так что меняйте устройство на более новое из текущих моделей.....


22 июн 2020, 11:59
Профиль

Зарегистрирован: 26 фев 2016, 14:56
Сообщения: 36
Спасибо за инфу. Пошел я гуглить новые асашки. Так моя модель везде продается и везде можно ее купить. Странно тогда все это. Да - перейти - на новое железо вариант неплохой, но не быстрый и затратный. Нужно время на согласование. На первое время может дадите совет? Просто у меня нет идей вообще. Спасибо!


22 июн 2020, 12:08
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 844
puz27 писал(а):
На первое время может дадите совет?

ну как вариант - обновите до последней возможной версии. что за версия у вас сейчас? Но это тоже не панацея. И спасет только актуальный продукт. А продаваться эта аса может еще лет 20, только вот производителю до нее уже нет никакого дела год-два.


22 июн 2020, 12:43
Профиль

Зарегистрирован: 26 фев 2016, 14:56
Сообщения: 36
Спасибо! Да кстати поискал и посмотерл, что в версии 9.1(7.4) есть правки
Код:
Resolved Bugs in Version 9.1(7.4) - CSCuu83280 Evaluation of OpenSSL June 2015

У меня 9.1.6.10. Возможно это мой вариант на данный момент, но вот проблема где взять обновление. Подписки уже нет.(((


22 июн 2020, 12:51
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1098
виртуальную АСА можете использовать ASAv10 например


22 июн 2020, 13:35
Профиль

Зарегистрирован: 26 фев 2016, 14:56
Сообщения: 36
Не слышал. Изучу этот вопрос. А пока буду искать обновы.


22 июн 2020, 15:16
Профиль

Зарегистрирован: 20 дек 2012, 11:06
Сообщения: 53
Решето решетом, а можно и почитать CVE. Чтобы поработить "пууделя", попробуйте принудительно выключить ssl 3.0.


23 июн 2020, 14:09
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 8 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 23


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB