Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
無効にする方法DHEアライグマ攻撃を軽減するための鍵アルゴリズム (CVE-2020 -1968) - Knowledge Base - Palo Alto Networks

無効にする方法DHEアライグマ攻撃を軽減するための鍵アルゴリズム (CVE-2020 -1968)

13715
Created On 11/01/21 06:05 AM - Last Modified 06/01/23 03:34 AM


Objective


  • いずれかをご利用のお客様は、PAN-OS 8.1、PAN-OS 9.0とPAN-OS9.1 バージョンでは無効にすることを考慮する必要がありますDHEアライグマ攻撃を軽減するための鍵アルゴリズム (CVE-2020 -1968)、いずれかの機能 (Web インターフェイス /GlobalProtectポータル /GlobalProtectゲートウェイ /GlobalProtectクライアントレスVPN)。
  • パロアルトネットワークスは無効にするオプションをリリースしましたDHEアライグマ攻撃を軽減するための鍵アルゴリズム (CVE-2020 -1968) 上記の機能のいずれかについて。
  • オプションを Web インターフェイスで有効にするには、PAN-OSバージョンを 8.1.20 / 9.0.11 / 9.1.5 にアップグレードする必要があります。 の中にPAN-OS8.1.20 / 9.0.11 / 9.1.5 より前のバージョンでは、このオプションはGlobalProtect機能はありますが、Web インターフェイスは対象外です。
  • お客様がご利用の場合PAN-OS10.0以降PAN-OSバージョンを無効にすることを考慮する必要はありませんDHEこれらのバージョンは脆弱性の影響を受けないため、キー アルゴリズムが更新されます。
  • お客様が次のいずれかの Web インターフェイスのデフォルトの証明書を使用している場合、PAN-OS 8.1、PAN-OS 9.0とPAN-OS9.1 バージョン、お客様は従う必要があります設定方法A安全な Web の証明書 -GUIアクセスこのナレッジベースの手順を実行する前に、「SSL /TLSサービス プロファイル」を無効にするオプションが必要ですDHE鍵アルゴリズム。

Environment


  • PANOS 8.1
  • PANOS 9.0
  • PANOS 9.1

Procedure


  • お客様が以下のいずれかをご利用の場合PAN-OS8.1、PAN-OS 9.0とPAN-OS9.1 バージョン、無効にするにはDHEキーアルゴリズムを使用するには、次のコマンドを実行できます。PAN-OS構成モードを使用した管理コマンド ライン インターフェイスONそして変更をコミットします。 すべての例で、SSL /TLSサービス プロファイル名は管理_tls_プロファイル。  
set shared ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no
  • 顧客がマルチ vsys デプロイメントで証明書を持っている場合、無効にするコマンド例DHE主要なアルゴリズムは以下のとおりです。
set vsys vsys1 ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no
  • を守るために、Panorama Web インターフェイス自体、無効にするコマンド例DHE主要なアルゴリズムは以下です
set panorama ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no
  • テンプレートを更新するにはPanorama、無効にするコマンドの例DHE主要なアルゴリズムは以下です
set template <template name> config shared ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no


Additional Information


  • お客様が入手できるのは、SSL /TLSサービスプロファイル名は次のようになります。
admin@Lab98-31-PA-5250# show shared ssl-tls-service-profile
ssl-tls-service-profile {
  management_tls_profile {
    protocol-settings {
      min-version tls1-2;
      max-version max;
      keyxchg-algo-dhe no;
    }
    certificate management;
  }
}
[edit]
  • 顧客はテストして次のことを確認できます。DHEキーアルゴリズムは適切に無効になっていますPAN-OS以下のコマンドでデプロイします。
root@remnux:~# nmap --script ssl-enum-ciphers -p 443 <ip address>

Starting Nmap 7.60 ( https://nmap.org ) at 2021-11-01 02:38 EDT
Stats: 0:00:00 elapsed; 0 hosts completed (0 up), 1 undergoing Ping Scan
Ping Scan Timing: About 100.00% done; ETC: 02:38 (0:00:00 remaining)
Nmap scan report for 10.137.98.31
Host is up (0.00085s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 0.90 seconds
  • もしもDHE鍵となるアルゴリズムはNOTで適切に無効化されていますPAN-OS展開した結果は以下の通りです。
root@remnux:~# nmap --script ssl-enum-ciphers -p 443 <ip address>

Starting Nmap 7.60 ( https://nmap.org ) at 2021-10-31 23:58 EDT
Nmap scan report for 10.137.98.31
Host is up (0.00086s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 0.99 seconds
  • 最初のコマンド出力には次のものが含まれていないことがわかります。DHE主要なアルゴリズム。 (例:「TLS_DHE_RSA_WITH_AES_256_CBC_SHA、TLS_DHE_RSA_WITH_AES_128_CBC_SHA、TLS_DHE_RSA_WITH_AES_256_GCM_SHA384、TLS_DHE_RSA_WITH_AES_128_GCM_SHA256)
 
 
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 239,433
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004MCcCAM&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language