Web アクセスの弱い暗号の無効化 GUI が機能しない
51705
Created On 10/21/20 14:32 PM - Last Modified 03/15/21 18:03 PM
Symptom
SSL / サービス TLS プロファイルの弱い暗号を無効にしても、Web アクセスの暗号は無効にされません GUI 。
これは、nmap ツールを使用して、次のコマンドを使用して ssl 暗号を列挙することで検証できます。
nmap --script ssl-enum-ciphers -p 443 <Firewall IP Address>
例:
1. 弱い暗号を無効にしようとする前に:
admin@FW1# show shared ssl-tls-service-profile Cert_Profile protocol-settings
set shared ssl-tls-service-profile Cert_Profile protocol-settings min-version tls1-2
set shared ssl-tls-service-profile Cert_Profile protocol-settings max-version max
[edit]
|
nmap --script ssl-enum-ciphers -p 443 <IP of the FW>
Starting Nmap 7.60 ( https://nmap.org ) at 2019-03-29 12:05 CET
Nmap scan report for x.x.x.x
Host is up (0.011s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| compressors:
| NULL
| cipher preference: server
|_ least strength: A
Nmap done: 1 IP address (1 host up) scanned in 0.50 seconds
|
admin@FW1# configure
admin@FW1# show shared ssl-tls-service-profile Cert_Profile protocol-settings
set shared ssl-tls-service-profile Cert_Profile protocol-settings min-version tls1-2
set shared ssl-tls-service-profile Cert_Profile protocol-settings max-version max
set shared ssl-tls-service-profile Cert_Profile protocol-settings auth-algo-sha1 no
set shared ssl-tls-service-profile Cert_Profile protocol-settings auth-algo-sha256 no
set shared ssl-tls-service-profile Cert_Profile protocol-settings enc-algo-3des no
set shared ssl-tls-service-profile Cert_Profile protocol-settings enc-algo-aes-128-cbc no
set shared ssl-tls-service-profile Cert_Profile protocol-settings enc-algo-aes-128-gcm no
set shared ssl-tls-service-profile Cert_Profile protocol-settings enc-algo-rc4 no
set shared ssl-tls-service-profile Cert_Profile protocol-settings keyxchg-algo-dhe no
set shared ssl-tls-service-profile Cert_Profile protocol-settings keyxchg-algo-rsa no
admin@FW1# commit
[edit]
|
3. Nmapテスト結果は、コミットが完了した後に暗号に変更を示さない。
nmap --script ssl-enum-ciphers -p 443 <IP of the FW>
Starting Nmap 7.60 ( https://nmap.org ) at 2019-03-29 12:12 CET
Nmap scan report for x.x.x.x
Host is up (0.00034s latency).
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| compressors:
| NULL
| cipher preference: server
|_ least strength: A
Nmap done: 1 IP address (1 host up) scanned in 0.46 seconds
|
Environment
- 任意パロアルト Firewall .
- 任意 Panorama の .
- PAN-OS 9.0.11 (9.0.x) より下のバージョン。
- PAN-OS 9.1.5 (9.1.x) より下のバージョン。
- PAN-OS 10.0.1 (10.0.x) より下のバージョン。
Cause
これらのコマンドは GlobalProtect 、/ プロファイルが使用されているインターフェイス (ポータル/ゲートウェイ) でのみ機能 SSL TLS します。
Resolution
バージョン PAN-OS 9.0.11 (または 9.1.5 / 10.0.1) 以上にアップグレードします。
バージョン PAN-OS 10.0.1、9.1.5、および 9.0.11 以降、これらのコマンドは管理インターフェイスにも適用されます。
この変更は、 の リリース ノート に記載されています PAN-115541 。
Additional Information
アクセス用の管理インターフェイスで脆弱な暗号とキーを修正する方法 SSH