Å fikse en PCI DSS-skannefeil på SonicWALL IPSec VPN, del én

I mitt forrige innlegg om passering av PCI DSS (Payment Card Industry Data Security Standard) eksterne sårbarhetsskanninger nevnte jeg to uløste skannefeil, begge koblet til VPN-tilgang. I ett tilfelle, SSL VPN-apparatet, var det ingen løsning med den eksisterende maskinvaren. Selv om vi fortsatt kjører boksen, er dagene nummerert.

Det andre problemet var med IPSec VPN (noen ganger referert til som en "normal" eller "tradisjonell" VPN for å skille den fra Secure Sockets Layer, eller SSL, VPN) på vår SonicWALL-ruter. Brukerne som testet det ut hadde funnet det raskere og mer pålitelig enn SSL VPN, så jeg ville virkelig beholde den. Problemet var at å løse skannefeilen så fryktelig komplisert ut.

Valg

Til å begynne med, hva er problemet? PCI DSS-skanningen rapporterte dette:

Synopsis: Den eksterne IKEv1-tjenesten støtter Aggressive Mode med forhåndsdelt tast. Effekt: IKE-versjonen 1-tjenesten for ekstern nøkkelutveksling (IKE) ser ut til å støtte aggresiv modus med forhåndsdelt nøkkel (PSK) autentisering. Slik konfigurasjon kan tillate en angriper å fange og sprekke PSK på en VPN-gateway og få uautorisert tilgang til private nettverk.

Vedtak:

- Deaktiver Aggressive Mode hvis dette støttes.

- Ikke bruk forhåndsdelt nøkkel til autentisering hvis mulig.

- Hvis du ikke kan unngå forhåndsdelt tast, kan du bruke veldig sterke taster.

- Hvis mulig, ikke tillat VPN-tilkoblinger fra noen IP-adresser.

CVE: CVE-2002-1623

Jeg smilte til rådene om å "bruke veldig sterke nøkler" fordi sikkerhetsskanningen er automatisert og vil mislykkes i dette problemet uansett hvor sterk nøkkelen er. Det som imidlertid ikke fikk meg til å smile, var det faktum at denne sårbarheten har vært kjent i over 10 år (det er det CVE-nummeret forteller deg). Hvorfor tillater SonicWALL til og med en så sårbar konfigurasjon? Da jeg logget problemet med SonicWALL, svarte de ikke det spørsmålet, men de sa til meg:

  • "Aggressive Mode" kan bare deaktiveres for en VPN-til-side (som kan kjøres i "Main Mode"). Det hjalp meg ikke da jeg ikke kjører sted-til-side.
  • Det eneste alternativet til forhåndsdelt nøkkelgodkjenning er å bruke sertifikater. De sendte meg et fantastisk utdatert SonicWALL PDF-dokument om bruk av sertifikater. Jeg leste den og forsto det ikke.

Før jeg brukte en innsats for å løse dette problemet, ønsket jeg først å tilfredsstille meg med at en "tradisjonell" VPN fremdeles er et godt valg. Tross alt trenger den spesiell klientprogramvare og gir datamaskiner som kobler full tilgang til LAN som om de var der i bygningen. Sikkert SSL VPN er den foretrukne måten i disse dager?

Visst nok, for eksempel artikler fra Cisco eller Barracuda, fremhever fordelene med SSL VPN. Vår erfaring med "portal" -konseptet til SSL VPN har vært skuffende (dvs. applikasjoner som reagerer veldig sakte eller ikke fungerer i det hele tatt). Og når dine eksterne kontormedarbeidere forteller deg at IPSec VPN fungerer bedre for dem, må du legge merke til det. I balanse bestemte vi oss derfor for at vi måtte bite kulen og få vår SonicWALL VPN til å oppføre seg.

Installere

Å gjøre dette arbeidet var en tretrinnsprosess:

  1. Installer wildcard SSL-sertifikatet vårt på SonicWALL. Jeg innhentet hjelp fra en lokal IT-konsulent, som var i stand til å få tak i SonicWALLs innviklede dokumentasjon for å gjøre dette.
  2. På SonicWALL-ruteren konfigurerer du WAN GroupVPN (under VPN | Innstillinger) på nytt for å bruke IKE ved bruk av 3. partssertifikater i stedet for IKE ved å bruke Preshared Secret (en annen betegnelse for forhåndsdelt nøkkel).
  3. Installer det samme sertifikatet på SonicWALL Global VPN Client (GVC) på hver klientmaskin.

I dette innlegget skal jeg beskrive trinn 1 i detalj. Et fremtidig innlegg vil dekke de to andre trinnene.

mellom~~POS=TRUNC

Det er viktig å merke seg at du ikke bare trenger ditt eget sertifikat, men også relevante rot- og mellomliggende sertifikater. (Som jeg har tilstått tidligere, påstår jeg ikke å forstå hvordan sertifikater fungerer, inkludert disse kjedene og mellomliggende sertifikater. Jeg følger bare instruksjonene.) Figur A viser sertifikatet vårt (lagret i. Pfx-format) etterfulgt av mellomliggende og rot sertifikater lagret i en mappe. I vårt tilfelle ble sistnevnte lastet ned fra https://certs.godaddy.com/anonymous/repository.pki. Figur A

Sluttbruker- og CA-sertifikater som er klare for import
  1. Naviger til SonicWALL til System | Sertifikater og klikk på Importer-knappen.
  2. I Importer sertifikat-dialogen velger du Importer et CA-sertifikat og bla til rotsertifikatet (i vårt tilfelle gd-class2-root.cer).
  3. Klikk på Importer.
  4. Kontroller at sertifikatet er importert ( figur B ).
  5. Figur B

    CA-rotsertifikat importert
  6. Når klasse 2-sertifikatet er importert, velger og importerer du den mellomliggende sertifikatfilen (gs-intermediate.crt) på samme måte. En advarsel om filnavnet vises ( figur C ), men kan ignoreres.
  7. Figur C

    Advarsel ved import av mellombevis
  8. Importer firmaets sertifikat som vist i figur D. Sertifikatnavnet er et navn du velger; Certificate Management Password er passordet for den krypterte .pfx-filen (i vårt tilfelle).
Figur D

Importerer wildcard SSL-sertifikat
Etter å ha fulgt denne prosedyren, skal sertifikatlisten vise tre sertifikater, med den validerte kolonnen som viser 'Ja' for ditt bedriftsspesifikke sertifikat ( figur E ). Figur E

Alle sertifikater importert; bedriftsspesifikt sertifikat validert.

Du er nå klar til å endre VPN-innstillingene.

Sammendrag

En IPSec VPN som bruker forhåndsdelt hemmelighet for autentisering, vil mislykkes PCI DSS-sikkerhetsskanninger. Fixen er å bruke sertifikater på ruteren og VPN-klienten. I dette innlegget beskrev jeg hvordan du installerer et SSL-sertifikat på en SonicWALL-ruter. Del to vil beskrive hvordan du endrer VPN-innstillingene på ruteren og klienten.

Nyhetsbrev om innovasjon

Vær kjent med smarte byer, AI, Internet of Things, VR, AR, robotikk, droner, autonom kjøring og mer av de kuleste teknologiske nyvinningene. Leveres onsdager og fredager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com