|
|
Паранойя волнует в последнюю очередь, но CGP с настройками по-умолчанию стал несовместим с актуальной версией популярнейшего антиспам-шлюза (это бывший Ironport).
Возможно в Cisco поспешили и я могу открыть тикет, если будет конкретика.
В ESA 11.0.0-264 такой набор шифров, SSLv2 и SSLv3 отключены:
RC4-MD5 SSLv2 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384
ECDHE-RSA-AES256-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA1
ECDHE-ECDSA-AES256-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA1
SRP-DSS-AES-256-CBC-SHA SSLv3 Kx=SRP Au=DSS Enc=AES(256) Mac=SHA1
SRP-RSA-AES-256-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=AES(256) Mac=SHA1
SRP-AES-256-CBC-SHA SSLv3 Kx=SRP Au=SRP Enc=AES(256) Mac=SHA1
DH-DSS-AES256-GCM-SHA384 TLSv1.2 Kx=DH/DSS Au=DH Enc=AESGCM(256) Mac=AEAD
DHE-DSS-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=DSS Enc=AESGCM(256) Mac=AEAD
DH-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH/RSA Au=DH Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES256-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(256) Mac=SHA256
DHE-DSS-AES256-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AES(256) Mac=SHA256
DH-RSA-AES256-SHA256 TLSv1.2 Kx=DH/RSA Au=DH Enc=AES(256) Mac=SHA256
DH-DSS-AES256-SHA256 TLSv1.2 Kx=DH/DSS Au=DH Enc=AES(256) Mac=SHA256
DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
DHE-DSS-AES256-SHA SSLv3 Kx=DH Au=DSS Enc=AES(256) Mac=SHA1
DH-RSA-AES256-SHA SSLv3 Kx=DH/RSA Au=DH Enc=AES(256) Mac=SHA1
DH-DSS-AES256-SHA SSLv3 Kx=DH/DSS Au=DH Enc=AES(256) Mac=SHA1
DHE-RSA-CAMELLIA256-SHA SSLv3 Kx=DH Au=RSA Enc=Camellia(256) Mac=SHA1
DHE-DSS-CAMELLIA256-SHA SSLv3 Kx=DH Au=DSS Enc=Camellia(256) Mac=SHA1
DH-RSA-CAMELLIA256-SHA SSLv3 Kx=DH/RSA Au=DH Enc=Camellia(256) Mac=SHA1
DH-DSS-CAMELLIA256-SHA SSLv3 Kx=DH/DSS Au=DH Enc=Camellia(256) Mac=SHA1
AES256-GCM-SHA384 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(256) Mac=AEAD
AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256
AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
CAMELLIA256-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(256) Mac=SHA1
PSK-AES256-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=AES(256) Mac=SHA1
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD
ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA256
ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA256
ECDHE-RSA-AES128-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA1
ECDHE-ECDSA-AES128-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(128) Mac=SHA1
SRP-DSS-AES-128-CBC-SHA SSLv3 Kx=SRP Au=DSS Enc=AES(128) Mac=SHA1
SRP-RSA-AES-128-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=AES(128) Mac=SHA1
SRP-AES-128-CBC-SHA SSLv3 Kx=SRP Au=SRP Enc=AES(128) Mac=SHA1
DH-DSS-AES128-GCM-SHA256 TLSv1.2 Kx=DH/DSS Au=DH Enc=AESGCM(128) Mac=AEAD
DHE-DSS-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AESGCM(128) Mac=AEAD
DH-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH/RSA Au=DH Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES128-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(128) Mac=SHA256
DHE-DSS-AES128-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AES(128) Mac=SHA256
DH-RSA-AES128-SHA256 TLSv1.2 Kx=DH/RSA Au=DH Enc=AES(128) Mac=SHA256
DH-DSS-AES128-SHA256 TLSv1.2 Kx=DH/DSS Au=DH Enc=AES(128) Mac=SHA256
DHE-RSA-AES128-SHA SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1
DHE-DSS-AES128-SHA SSLv3 Kx=DH Au=DSS Enc=AES(128) Mac=SHA1
DH-RSA-AES128-SHA SSLv3 Kx=DH/RSA Au=DH Enc=AES(128) Mac=SHA1
DH-DSS-AES128-SHA SSLv3 Kx=DH/DSS Au=DH Enc=AES(128) Mac=SHA1
DHE-RSA-SEED-SHA SSLv3 Kx=DH Au=RSA Enc=SEED(128) Mac=SHA1
DHE-DSS-SEED-SHA SSLv3 Kx=DH Au=DSS Enc=SEED(128) Mac=SHA1
DH-RSA-SEED-SHA SSLv3 Kx=DH/RSA Au=DH Enc=SEED(128) Mac=SHA1
DH-DSS-SEED-SHA SSLv3 Kx=DH/DSS Au=DH Enc=SEED(128) Mac=SHA1
DHE-RSA-CAMELLIA128-SHA SSLv3 Kx=DH Au=RSA Enc=Camellia(128) Mac=SHA1
DHE-DSS-CAMELLIA128-SHA SSLv3 Kx=DH Au=DSS Enc=Camellia(128) Mac=SHA1
DH-RSA-CAMELLIA128-SHA SSLv3 Kx=DH/RSA Au=DH Enc=Camellia(128) Mac=SHA1
DH-DSS-CAMELLIA128-SHA SSLv3 Kx=DH/DSS Au=DH Enc=Camellia(128) Mac=SHA1
AES128-GCM-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(128) Mac=AEAD
AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256
AES128-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1
SEED-SHA SSLv3 Kx=RSA Au=RSA Enc=SEED(128) Mac=SHA1
CAMELLIA128-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(128) Mac=SHA1
IDEA-CBC-SHA SSLv3 Kx=RSA Au=RSA Enc=IDEA(128) Mac=SHA1
IDEA-CBC-MD5 SSLv2 Kx=RSA Au=RSA Enc=IDEA(128) Mac=MD5
RC2-CBC-MD5 SSLv2 Kx=RSA Au=RSA Enc=RC2(128) Mac=MD5
PSK-AES128-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=AES(128) Mac=SHA1
ECDHE-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=RSA Enc=3DES(168) Mac=SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=3DES(168) Mac=SHA1
SRP-DSS-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=DSS Enc=3DES(168) Mac=SHA1
SRP-RSA-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=3DES(168) Mac=SHA1
SRP-3DES-EDE-CBC-SHA SSLv3 Kx=SRP Au=SRP Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1
DH-RSA-DES-CBC3-SHA SSLv3 Kx=DH/RSA Au=DH Enc=3DES(168) Mac=SHA1
DH-DSS-DES-CBC3-SHA SSLv3 Kx=DH/DSS Au=DH Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
DES-CBC3-MD5 SSLv2 Kx=RSA Au=RSA Enc=3DES(168) Mac=MD5
PSK-3DES-EDE-CBC-SHA SSLv3 Kx=PSK Au=PSK Enc=3DES(168) Mac=SHA1
-----Original Message-----
From: CommuniGate Pro Russian Discussions [mailto:CGatePro@ru.stalker.com]
Sent: Friday, August 25, 2017 9:32 PM
To: CommuniGate Pro Russian Discussions <CGatePro@ru.stalker.com>
Subject: Re: [CGP] CommuniGate Pro 6.1.17 is released
Здравствуйте,
On 2017-08-25 20:54, Mikhail Tolkonyuk wrote:
> Так заработало, спасибо!
> Хотя всё равно странно, что у них не нашлось общих шифров и как связаны "CBC Ciphers" с включением AES.
CBC режим, в котором обычно используется AES, считается небезопасным с TLS 1.0 (RC4 оказывается более надёжным), а TLS 1.0 у нас по умолчанию предлагается в исходящих соединениях, дабы не вводить в искушение некоторые TLS реализации, которые со старшими версиями начинают хотеть расширений, необязательных с точки зрения стандарта, или просто ломаются и бросают соединение.
И вообще, вопрос это философский. Всё, что считается небезопасным, взламывается в разумное время усилиями либо достаточно большой корпорации, либо не очень мальнького государства. Что такого интересного вы передаёте с сервера до своей циски, чтобы обязательным был класс А от ssllabs? Если эти же данные лежат нешифрованными либо у отправителя, либо у получателя нешифрованными, и любой из них с готовностью всё расшифрует, если им показать либо горячий паяльник, либо холожную голову с ксивой?
До 6.1.17 всё равно обновитесь, там закрыты более реальные уязвимости в web клиентах.
> -----Original Message-----
> From: CommuniGate Pro Russian Discussions
> [mailto:CGatePro@ru.stalker.com]
> Sent: Friday, August 25, 2017 8:30 PM
> To: CommuniGate Pro Russian Discussions <CGatePro@ru.stalker.com>
> Subject: Re: [CGP] CommuniGate Pro 6.1.17 is released
>
> Здравствуйте.
>
> On 2017-08-25 20:07, Mikhail Tolkonyuk wrote:
>> А какой сейчас набор шифров для TLS? И можно ли как-то их настроить для исходящих соединений?
>>
>> С Cisco ESA 11.0.0 он смог договориться на TLSv1.0,DHE_AES256_SHA только после установки галки "CBC Ciphers for old TLS". Без неё ломился с SSLv3 и каким-то старым шифром, которого та не понимает и его не показывает в All Info.
>
> А по какому протоколу?
> Если SMTP, то можно запустить сервер с --SMTPOutgoingTLSVersion 2
>
>> -----Original Message-----
>> From: CommuniGate Pro Russian Discussions
>> [mailto:CGatePro@ru.stalker.com]
>> Sent: Friday, August 25, 2017 6:11 PM
>> To: CommuniGate Pro Russian Discussions <CGatePro@ru.stalker.com>
>> Subject: Re: [CGP] CommuniGate Pro 6.1.17 is released
>>
>> Здравствуйте.
>>
>> Настоятельно рекомендуется обновление до этой версии, особенно если используется интерфейс Pronto HTML.
>>
>> On 2017-08-25 18:00, support wrote:
>>> Minor/Bug fix Release
>>>
>>> The CommuniGate Pro 6.1.17 has been released:
>>>
>>> == Valid Core License Keys: issued after the 1st of Feb, 2014 ==
>>>
>>> This version is higly recommended for deployment as it includes protection from possible attacks to WebUser (regular and Pronto) sessions.
>> []
>>>
>>> History:
>>> 6.1.17 25-Aug-2017
>>>
>>>
>>> * Pronto: Pronto! HTML Version 6.1.17 is included.
>>> * MAPI: the MAPI Connector version 1.54.12.18 is included.
>>> * WEBSKIN: extra protection from WebUser session stealing and cross-site scripting.
>>> * WEBUSER: extra protection from WebUser session stealing and cross-site scripting.
>>> * CALENDAR: updates to recurring items are processed even if original item is missing.
>>> * TLS 1.2 compatibility with other implementations has been improved.
>>> * SMTP: attacker IP is blacklisted also when errors are made in separate sessions.
>>> * AIRSYNC: added workaround for task updates that miss task start time.
>>> * Bug Fix: SMTP: some locally generated messages might be considered as relayed and blocked with restricted relaying settings.
>>> * Bug Fix: HTTP: some requests with chunked encoding proxied to cluster backends might be processed incorrectly.
>>> * Bug Fix: TLS: the server might crash on TLS handshake with incorrect elliptic curves parameters.
> --
> Best regards,
> Dmitry Akindinov
>
--
Best regards,
Dmitry Akindinov
|
|