Å fikse en PCI DSS-skannefeil på SonicWALL IPSec VPN, del to

I del en av denne serien forklarte jeg hvorfor jeg trengte å endre en IPSec VPN fra å bruke forhåndsdelt hemmelighet til SSL-sertifikater for godkjenning. Deretter beskrev jeg hvordan vi importerte et passende sertifikat til en SonicWALL-ruter. Dette var det første trinnet av de tre trinnene som kreves for å få VPN til å fungere og passere PCI DSS (Payment Card Industry Data Security Standard) skanning.

Det andre trinnet, også på SonicWALL-ruteren, var å endre VPN-innstillingen for å bruke det nylig installerte sertifikatet for godkjenning.

1. Logg deg på SonicWALL og naviger til VPN | Innstillinger.

2. Under VPN Policies, finn WAN GroupVPN og klikk på blyantikonet for å konfigurere det ( figur A ). Figur A

Finne VPN-policyen

3. I kategorien Generelt under Sikkerhetspolicy, endre autentiseringsmetode fra IKE ved å bruke Preshared Secret til IKE ved å bruke 3. partssertifikater.

4. Dette vil aktivere feltet Gateway Certificate. Velg navnet på det tidligere installerte sertifikatet.

5. Under Peer-sertifikater fant vi innstillingene som fungerte, var å sette Peer ID Type til domenenavn og Peer ID-filteret til domenet som omfattes av sertifikatet, f.eks. Vpn.company.com. (For vårt wildcard SSL-sertifikat, brukte vi *. Company.com, og erstattet company.com med vårt domenenavn.)

6. Etter å ha oppdatert disse innstillingene i kategorien Generelt ( figur B ), klikker du OK. Advarsel: Så snart du gjør denne endringen, kan ikke brukerne koble seg til VPN før de oppdaterer klientinnstillingene. Figur B

Oppdaterte innstillinger i kategorien Generelt

Klientoppdatering

Jeg antar at brukeren allerede har SonicWALL Global VPN Client (GVC) installert på sin PC, med en tilkoblingspolicy definert for VPN. De vil også trenge en kopi av det samme sertifikatet som ble installert på SonicWALL-ruteren, og passordet som brukes til å kryptere det.

1. Start GVC, og velg Vis | på menyen Sertifikater.

2. Med mindre et sertifikat tidligere er importert, vil listen være tom. Klikk på Import ... -knappen ( figur C ). Figur C

3. Bla gjennom mappen som inneholder SSL-sertifikatet, og klikk Åpne.

4. Skriv inn passordet for sertifikatet og klikk OK ( figur D ). Figur D

5. Du bør motta varsel om en vellykket import, og sertifikatet vises i listen. Klikk OK og deretter Lukk.

6. I hovedvinduet i GVC velger du tilkoblingen og klikker Aktiver. Kontroller at det viser riktig sertifikat i dialogboksen Velg sertifikat, og klikk OK ( figur E ). Nå skal GVC kobles til VPN som normalt. Figur E

Nyimportert sertifikat tilgjengelig for valg.

Siden vi har gjort disse endringene, passerer SonicWALL-ruteren vår PCI DSS-skanningen, og VPN fungerer som normalt.

64-bit

Den eneste feilen vi har hatt med denne klientoppdateringsprosessen, er på et par 64-biters Windows 8 Professional-PCer. På disse, så snart du velger Vis | Sertifikater fra GVC-menyen, programvaren krasjer. Vi logget dette med SonicWALL og fulgte typiske feilsøkingsprosedyrer, som inkluderer å utføre en fullstendig avinstallering, kontrollere at vi hadde den nyeste versjonen, og sende dem feilloggene.

SonicWALL sa at det hadde noen problemer på 64-biters Windows 8, men på en tidligere versjon av GVC. For å forvirre saker prøvde vi senere prosessen på et Microsoft Surface Pro-nettbrett som kjører 64-biters Windows 8 Pro, og det fungerte fint. Dette indikerer at krasjet er maskinspesifikt, og så langt har vi ikke klart å spore årsaken.

Sammendrag

En IPSec VPN som bruker forhåndsdelt hemmelighet for autentisering, vil mislykkes PCI DSS-sikkerhetsskanninger. Fixen er å bruke sertifikater på ruteren og VPN-klienten. I disse innleggene beskrev jeg hvordan jeg gjør dette for en SonicWALL-ruter ved å bruke SonicWALL Global VPN Client. Prosessen er ikke enkel, men den fungerer for de fleste klient-PC-er.

Nyhetsbrev om innovasjon

Vær kjent med smarte byer, AI, Internet of Things, VR, AR, robotikk, droner, autonom kjøring og mer av de kuleste teknologiske nyvinningene. Leveres onsdager og fredager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com