Admin Archive - Maximilian Krieg https://maximiliankrieg.de/tag/admin/ Wissen, Technik & Erfahrungen Sat, 01 Jun 2024 15:57:17 +0000 de hourly 1 https://wordpress.org/?v=7.0 https://maximiliankrieg.de/wp-content/uploads/2026/05/cropped-20260524_logo_2_512-2-32x32.png Admin Archive - Maximilian Krieg https://maximiliankrieg.de/tag/admin/ 32 32 Fortinet – Chiffren für SSL VPN und Admin GUI härten https://maximiliankrieg.de/2024/01/fortinet-chiffren-fuer-ssl-vpn-und-admin-gui/ https://maximiliankrieg.de/2024/01/fortinet-chiffren-fuer-ssl-vpn-und-admin-gui/#respond Wed, 31 Jan 2024 07:44:47 +0000 https://maximiliankrieg.de/?p=384 Bei einem Selbsttest über den SSL Server Test von Qualys ist mir aufgefallen, dass wir zwar ein A+ bei unserem VPN-Gateway erhalten haben, es jedoch…

Der Beitrag Fortinet – Chiffren für SSL VPN und Admin GUI härten erschien zuerst auf Maximilian Krieg.

]]> Bei einem Selbsttest über den SSL Server Test von Qualys ist mir aufgefallen, dass wir zwar ein A+ bei unserem VPN-Gateway erhalten haben, es jedoch noch schwache Chiffren gibt, die angeboten werden. Für einen hohen Grad an Standardisierung, Interoperabilität und Sicherheit möchte ich daher eine Vorlage definieren, anhand der wir unsere FortiGate-Firewalls absichern können. In der Folge wurde eine eingehende Analyse der aktuellen Richtlinien von Fortinet und des Bundesamts für Sicherheit in der Informationstechnik (BSI) durchgeführt, um das SSL-VPN-Gateway und die Admin-Oberfläche abzusichern.

Die globalen Einstellungen betreffen die Admin-Oberfläche. Wir haben hier zuvor manuelle Parameter gesetzt für die TLS-Mindeststandards, wechseln nun jedoch auf den Strong-Crypto-Befehl. Das Verbot von RSA-Chiffren ist zwar implizit durch die anderen Parameter gegeben, wurde jedoch bei einem Audit als wünschenswert festgelegt und wird daher beibehalten. Ebenfalls werden mehrere Hash-Verfahren deaktiviert, um das unsichere AES-128-CBC abzuschalten. Wie in einem Technical Tip beschrieben, kann AES-128-CBC nicht selbst deaktiviert werden, weshalb ein Workaround über die Hash-Verfahren genutzt werden kann. Einen exklusiven Umstieg auf TLS 1.3, welches die unsicheren Chiffren nicht mehr unterstützt, haben wir auch diskutiert, jedoch noch nicht ins Auge gefasst.

config system global
    set strong-crypto enable
    set ssl-static-key-ciphers disable
    set admin-https-ssl-banned-cipher RSA SHA1 SHA256 SHA384
    set dh-params 8192
end

Wenn die starke Verschlüsselung (Strong-Crypto) aktiviert ist, sind nur noch TLS 1.2 und TLS 1.3 zulässig. Der Strong-Crypto-Befehl hat jedoch keine Auswirkung auf die SSL-VPN-Verschlüsselungsstufe oder -Chiffren. Für die SSL-VPN-Einstellungen setzen wir daher TLS 1.2 als Mindeststandard und verbieten die gleichen Chiffren wie zuvor. Über den Algorith-High-Befehl werden ebenfalls ältere und unsichere Chiffren verboten.

config vpn ssl setting
    set algorithm high
    set ssl-min-proto-ver tls1-2
    set banned-cipher RSA SHA1 SHA256 SHA384
end

Abschließend kontrollieren wir mithilfe von Qualys den neuen Status und führen einen erneuten Scan durch. Es ergibt sich nun eine Bewertung mit A+ mit voller Bewertung in drei Kategorien.

Zusammenfassung des SSL Server Tests von Qualys

Quellen

Der Beitrag Fortinet – Chiffren für SSL VPN und Admin GUI härten erschien zuerst auf Maximilian Krieg.

]]> https://maximiliankrieg.de/2024/01/fortinet-chiffren-fuer-ssl-vpn-und-admin-gui/feed/ 0