сбои Cisco Firepower DTLS

bnjones

Я проверил MTU и убедился, что IPS не мешает. Единственные логи, которые могут пролить свет на ситуацию, приведены ниже: Устройство пропускает шифрование: ECDHE-ECDSA-AES256-GCM-SHA384 — обмен ключами и/или алгоритм аутентификации не совпадают с точкой доверия Он подключается с ECDSA на ASA, но FMC/FTD подключается с этим шифром ECDHE_RSA_AES256_GCM_SHA384

MHM Cisco World

https://integratingit.wordpress.com/2021/01/28/secure-ftd-tls-ciphers/ Изменить шифр SSL.

bnjones

Это мой исходный вывод ASA:
Принимать соединения с использованием SSLv3 или выше и согласовывать до TLSv1.2 или выше.
Запускать соединения с использованием TLSv1.2 и согласовывать до TLSv1.2 или выше.
Группа SSL DH: group2 (1024-битный модуль).
Группа SSL ECDH: group19 (256-битный EC). Точки доверия SSL:
Внутренний интерфейс: **** (RSA 2048 бит RSA-SHA256) Вот вывод устройства Firepower «show ssl»: Принимать соединения с использованием SSLv3 или выше и согласовывать до TLSv1.2 или выше.
Запускать соединения с использованием TLSv1.2 и согласовывать до TLSv1.2 или выше.
Группа SSL DH: group14 (2048-битный модуль, FIPS).
Группа SSL ECDH: group19 (256-битный EC). Точки доверия SSL:
по умолчанию: **** (RSA 2048 бит RSA-SHA256) Есть какие-нибудь идеи?

bnjones

Похоже, что шифр, который мы используем на ASA (
ecdhe-ecdsa-aes256-gcm-sha384) для трафика DTLS, не работает на Firepower, что соответствует логам, которые я получаю. Есть ли способ прикрепить ключи ECDSA к моему trustpoint в FMC?

MHM Cisco World

[) Encryption-3DES-AES Вам нужна лицензия для 3DES-AES, которая предоставляется бесплатно компанией Cisco.
Проверьте ссылку, она такая же, как ваша.
Спасибо,
MHM.

bnjones

Я знаком с этим в отношении кода ASA, но я использую FTD с FMC... Есть ли какие-нибудь идеи, как проверить эту информацию?

MHM Cisco World

https://www.youtube.com/watch?v=Hlz07vF1sBM

bnjones

Я уже зарегистрировал устройства в программе лицензирования интеллектуального программного обеспечения, но это руководство предназначено для кода ASA. Я использую FTD 7.3.1, поэтому это не применимо к моей ситуации.

Salman Mahajan

Привет
[, @bnjones.]
С какой именно проблемой вы столкнулись при использовании RA-VPN?

bnjones

Единственная проблема, с которой я столкнулся, — это невозможность установить DTLS, что связано с невозможностью согласовать следующий шифр. Это из журналов устройства FTD 7.3.1:
«Устройство пропускает шифр: ECDHE-ECDSA-AES256-GCM-SHA384 — обмен ключами и/или алгоритм аутентификации не совпадают с точкой доверия».

Salman Mahajan

@bnjones
Вы видите этот журнал, потому что использование шифров ECDSA с сертификатом, использующим подпись RSA, не будет работать и приведет к сбою соединения
. Вам необходимо настроить dtlsv1.2 для использования не-ec SSL-шифра, такого как
AES256-GCM-SHA384
. Это можно сделать из FMC. Можете ли вы также поделиться выводом «
show run all ssl
» из cli, чтобы я мог посмотреть, что сейчас настроено.
С уважением,
Салман Махаджан

bnjones

show running-config all ssl
ssl server-version tlsv1.2 dtlsv1.2
ssl client-version tlsv1.2
ssl cipher default medium
ssl cipher tlsv1 medium
ssl cipher tlsv1.1 medium
ssl cipher tlsv1.2 custom "AES256-GCM-SHA384"
ssl cipher tlsv1.3 medium
ssl cipher dtlsv1 medium
ssl cipher dtlsv1.2 custom "AES256-GCM-SHA384"
ssl dh-group group14
ssl ecdh-group group19
ssl trust-point *****
ssl trust-point ***** Внешняя
аутентификация SSL-сертификата fca-timeout 2

bnjones

В результате получается соединение TLS 1.2, без DTLS. С нашим старым ASA, когда мы подключаемся с DTLS, это DTLS v1.2
ECDHE_RSA_AES256_GCM_SHA384, но этот шифр по какой-то причине не работает на FTD. Вот как выглядит наш старый ASA: sh run all ssl
ssl server-version tlsv1.2 dtlsv1
ssl client-version tlsv1.2
ssl cipher default medium
ssl cipher tlsv1 medium
ssl cipher tlsv1.1 medium
ssl cipher tlsv1.2 fips
ssl cipher dtlsv1 medium
ssl cipher dtlsv1.2 medium
ssl dh-group group2
ssl ecdh-group group19
ssl trust-point SSL_TrustPoint2
ssl trust-point SSL_TrustPoint2
ssl trust-point SSL_TrustPoint2
ssl certificate-authentication fca-timeout 2