FortiGate 脆弱性対策 - Knowlege Database

脆弱性対策設定
- プロトコル関連
  - TCPのタイムスタンプ無効化
- SSL関連（SSL VPN）
  - 強度の弱い暗号方式の禁止
  - 脆弱性のあるプロトコルの停止

脆弱性対策設定†

↑

プロトコル関連†

↑

TCPのタイムスタンプ無効化†

以下の脆弱性に対する対応。

脆弱性

generic-tcp-timestamp TCP timestamp response

対処方針
TCPのタイムスタンプオプションを無効にする。

設定

# config system global 
(global) # set tcp-option disable

↑

SSL関連（SSL VPN）†

↑

強度の弱い暗号方式の禁止†

以下の脆弱性に対する対応。

脆弱性

ssl-3des-ciphers TLS/SSL Server Supports 3DES Cipher Suite

対処方針
強度の高い暗号方式を使用する様に制限する。

暗号強度の制限

# config system global 
(global) # set strong-crypto enable 
(global) # end

# config vpn ssl settings 
(settings) # set algorithm high 
(settings) # end

↑

脆弱性のあるプロトコルの停止†

以下の脆弱性に対する対応。

脆弱性

ssl-cve-2011-3389-beast	TLS/SSL Server is enabling the BEAST attack
sslv3-cve-2014-3566-poodle	TLS/SSL Server is enabling the POODLE attack
sslv3-supported	TLS/SSL Server Supports SSLv3
tls-dh-primes	TLS/SSL Server Is Using Commonly Used Prime Numbers
tlsv1_0-enabled	TLS Server Supports TLS version 1.0
tlsv1_1-enabled	TLS Server Supports TLS version 1.1

対処方針
脆弱性のあるプロトコル(SSLv2、SSLv3、TLS1.0～1.1)を使用禁止にする。

SSLv2、SSLv3、TLS1.0、TLS1.1の無効化

# config vpn ssl settings 
(settings) # set sslv3 disable 
(settings) # set sslv2 disable 
(settings) # set tlsv1-0 disable 
(settings) # set tlsv1-1 disable 
(settings) # end