目次~
#contents
*脆弱性対策設定 [#i3a51ca2]
**SSL証明書関連(SSL VPN) [#f884225b]
**プロトコル関連 [#ffcb1aad]
***TCPのタイムスタンプ無効化 [#i9eb083c]
以下の脆弱性に対する対応。~
-脆弱性~
|generic-tcp-timestamp|TCP timestamp response|
~
-対処方針~
TCPのタイムスタンプオプションを無効にする。~
~
-設定~
# config system global
(global) # set tcp-option disable
**SSL関連(SSL VPN) [#f884225b]
***強度の弱い暗号方式の禁止 [#wa4d810b]
以下の脆弱性に対する対応。~
-脆弱性~
|ssl-3des-ciphers|TLS/SSL Server Supports 3DES Cipher Suite|
~
-対処方針~
強度の高い暗号方式を使用する様に制限する。~
~
-暗号強度の制限~
# config system global
(global) # set strong-crypto enable
(global) # end
# config vpn ssl settings
(settings) # set algorithm high
(settings) # end
***脆弱性のあるプロトコルの停止 [#pb21fbb0]
以下の脆弱性に対する対応。~
-脆弱性~
|ssl-cve-2011-3389-beast|TLS/SSL Server is enabling the BEAST attack|
|sslv3-cve-2014-3566-poodle|TLS/SSL Server is enabling the POODLE attack|
|sslv3-supported|TLS/SSL Server Supports SSLv3|
|tls-dh-primes|TLS/SSL Server Is Using Commonly Used Prime Numbers|
|tlsv1_0-enabled|TLS Server Supports TLS version 1.0|
|tlsv1_1-enabled|TLS Server Supports TLS version 1.1|
~
-対処方針~
脆弱性のあるプロトコル(SSLv2、SSLv3、TLS1.0〜1.1)を使用禁止にする。~
~
-SSLv2、SSLv3、TLS1.0、TLS1.1の無効化~
# config vpn ssl settings
(settings) # set sslv3 disable
(settings) # set sslv2 disable
(settings) # set tlsv1-0 disable
(settings) # set tlsv1-1 disable
(settings) # end
