сбои Cisco Firepower DTLS
-
Здравствуйте У вас в сети есть IPS? А как насчет MTU? Вы проверяли? Недавно у меня возникла проблема с dtls, и мы обнаружили, что MTU и IPS теряют пакеты.
-
Я проверил MTU и убедился, что IPS не мешает. Единственные логи, которые могут пролить свет на ситуацию, приведены ниже: Устройство пропускает шифрование: ECDHE-ECDSA-AES256-GCM-SHA384 — обмен ключами и/или алгоритм аутентификации не совпадают с точкой доверия Он подключается с ECDSA на ASA, но FMC/FTD подключается с этим шифром ECDHE_RSA_AES256_GCM_SHA384
-
https://integratingit.wordpress.com/2021/01/28/secure-ftd-tls-ciphers/ Изменить шифр SSL.
-
Это мой исходный вывод ASA:
Принимать соединения с использованием SSLv3 или выше и согласовывать до TLSv1.2 или выше.
Запускать соединения с использованием TLSv1.2 и согласовывать до TLSv1.2 или выше.
Группа SSL DH: group2 (1024-битный модуль).
Группа SSL ECDH: group19 (256-битный EC). Точки доверия SSL:
Внутренний интерфейс: **** (RSA 2048 бит RSA-SHA256) Вот вывод устройства Firepower «show ssl»: Принимать соединения с использованием SSLv3 или выше и согласовывать до TLSv1.2 или выше.
Запускать соединения с использованием TLSv1.2 и согласовывать до TLSv1.2 или выше.
Группа SSL DH: group14 (2048-битный модуль, FIPS).
Группа SSL ECDH: group19 (256-битный EC). Точки доверия SSL:
по умолчанию: **** (RSA 2048 бит RSA-SHA256) Есть какие-нибудь идеи? -
Похоже, что шифр, который мы используем на ASA (
ecdhe-ecdsa-aes256-gcm-sha384) для трафика DTLS, не работает на Firepower, что соответствует логам, которые я получаю. Есть ли способ прикрепить ключи ECDSA к моему trustpoint в FMC? -
[) Encryption-3DES-AES Вам нужна лицензия для 3DES-AES, которая предоставляется бесплатно компанией Cisco.
Проверьте ссылку, она такая же, как ваша.
Спасибо,
MHM. -
Я знаком с этим в отношении кода ASA, но я использую FTD с FMC... Есть ли какие-нибудь идеи, как проверить эту информацию?
-
-
Я уже зарегистрировал устройства в программе лицензирования интеллектуального программного обеспечения, но это руководство предназначено для кода ASA. Я использую FTD 7.3.1, поэтому это не применимо к моей ситуации.
-
Привет
[, @bnjones.]
С какой именно проблемой вы столкнулись при использовании RA-VPN? -
Единственная проблема, с которой я столкнулся, — это невозможность установить DTLS, что связано с невозможностью согласовать следующий шифр. Это из журналов устройства FTD 7.3.1:
«Устройство пропускает шифр: ECDHE-ECDSA-AES256-GCM-SHA384 — обмен ключами и/или алгоритм аутентификации не совпадают с точкой доверия». -
@bnjones
Вы видите этот журнал, потому что использование шифров ECDSA с сертификатом, использующим подпись RSA, не будет работать и приведет к сбою соединения
. Вам необходимо настроить dtlsv1.2 для использования не-ec SSL-шифра, такого как
AES256-GCM-SHA384
. Это можно сделать из FMC. Можете ли вы также поделиться выводом «
show run all ssl
» из cli, чтобы я мог посмотреть, что сейчас настроено.
С уважением,
Салман Махаджан -
show running-config all ssl
ssl server-version tlsv1.2 dtlsv1.2
ssl client-version tlsv1.2
ssl cipher default medium
ssl cipher tlsv1 medium
ssl cipher tlsv1.1 medium
ssl cipher tlsv1.2 custom "AES256-GCM-SHA384"
ssl cipher tlsv1.3 medium
ssl cipher dtlsv1 medium
ssl cipher dtlsv1.2 custom "AES256-GCM-SHA384"
ssl dh-group group14
ssl ecdh-group group19
ssl trust-point *****
ssl trust-point ***** Внешняя
аутентификация SSL-сертификата fca-timeout 2 -
В результате получается соединение TLS 1.2, без DTLS. С нашим старым ASA, когда мы подключаемся с DTLS, это DTLS v1.2
ECDHE_RSA_AES256_GCM_SHA384, но этот шифр по какой-то причине не работает на FTD. Вот как выглядит наш старый ASA: sh run all ssl
ssl server-version tlsv1.2 dtlsv1
ssl client-version tlsv1.2
ssl cipher default medium
ssl cipher tlsv1 medium
ssl cipher tlsv1.1 medium
ssl cipher tlsv1.2 fips
ssl cipher dtlsv1 medium
ssl cipher dtlsv1.2 medium
ssl dh-group group2
ssl ecdh-group group19
ssl trust-point SSL_TrustPoint2
ssl trust-point SSL_TrustPoint2
ssl trust-point SSL_TrustPoint2
ssl certificate-authentication fca-timeout 2
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти