Deaktivieren schwacher Chiffren für den GUI Webzugriff funktioniert nicht

Deaktivieren schwacher Chiffren für den GUI Webzugriff funktioniert nicht

42006
Created On 10/21/20 14:32 PM - Last Modified 03/15/21 18:03 PM


Symptom


Das Deaktivieren schwacher Verschlüsselungen für SSL TLS /Dienstprofile deaktiviert die Verschlüsselungen für den GUI Webzugriff nicht.
Dies kann mit dem nmap-Tool überprüft werden, um ssl-ciphers mit dem Befehl aufzuzählen:

nmap --script ssl-enum-ciphers -p 443 <Firewall IP Address>

Beispiel:
1. Bevor Sie versuchen, schwache Verschlüsselungen zu deaktivieren:

admin@FW1# show shared ssl-tls-service-profile Cert_Profile protocol-settings 
set shared ssl-tls-service-profile Cert_Profile protocol-settings min-version tls1-2
set shared ssl-tls-service-profile Cert_Profile protocol-settings max-version max
[edit]
Nmap-Testergebnisse:
nmap --script ssl-enum-ciphers -p 443 <IP of the FW>

Starting Nmap 7.60 ( https://nmap.org ) at 2019-03-29 12:05 CET
Nmap scan report for x.x.x.x
Host is up (0.011s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 0.50 seconds
2. Verwenden der CLI Befehle, um schwache Chiffren zu entfernen und die Änderungen zu übertragen:
admin@FW1# configure
admin@FW1# show shared ssl-tls-service-profile Cert_Profile protocol-settings
set shared ssl-tls-service-profile Cert_Profile protocol-settings min-version tls1-2
set shared ssl-tls-service-profile Cert_Profile protocol-settings max-version max
set shared ssl-tls-service-profile Cert_Profile protocol-settings auth-algo-sha1 no
set shared ssl-tls-service-profile Cert_Profile protocol-settings auth-algo-sha256 no
set shared ssl-tls-service-profile Cert_Profile protocol-settings enc-algo-3des no
set shared ssl-tls-service-profile Cert_Profile protocol-settings enc-algo-aes-128-cbc no
set shared ssl-tls-service-profile Cert_Profile protocol-settings enc-algo-aes-128-gcm no
set shared ssl-tls-service-profile Cert_Profile protocol-settings enc-algo-rc4 no
set shared ssl-tls-service-profile Cert_Profile protocol-settings keyxchg-algo-dhe no
set shared ssl-tls-service-profile Cert_Profile protocol-settings keyxchg-algo-rsa no
admin@FW1# commit
[edit]

3. Nmap-Testergebnisse zeigen keine Änderungen an den Chiffren an, nachdem der Commit abgeschlossen wurde:

nmap --script ssl-enum-ciphers -p 443 <IP of the FW>

Starting Nmap 7.60 ( https://nmap.org ) at 2019-03-29 12:12 CET
Nmap scan report for x.x.x.x
Host is up (0.00034s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 0.46 seconds

Environment


  • Jede Palo Alto Firewall .
  • Jede Panorama .
  • PAN-OS Version unter 9.0.11 (9.0.x).
  • PAN-OS Version unter 9.1.5 (9.1.x).
  • PAN-OS Version unter 10.0.1 (10.0.x).

Cause


Diese Befehle funktionieren nur für GlobalProtect Schnittstellen (Portal/Gateway), bei denen SSL TLS /profile verwendet werden.

Resolution


Upgrade auf PAN-OS Version 9.0.11 (oder 9.1.5 / 10.0.1) und höher.
Ab den PAN-OS Versionen 10.0.1, 9.1.5 und 9.0.11 gelten diese Befehle auch für die Verwaltungsschnittstelle.
Diese Änderung wurde in den Versionshinweisen unter PAN-115541 dokumentiert.

Additional Information


Beheben von schwachen Ciphern und Schlüsseln auf der Verwaltungsschnittstelle für SSH den Zugriff
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HBGLCA4&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language