Algorithmes pour la gestion HTTPS et SSH
Le FortiGate contient plusieurs suites de chiffrements différentes. Certaines de ces suites sont considérées comme faibles, il est donc possible d'éviter de les utiliser avec la commande CLI suivante, qui forcera l'utilisation de suites de chiffrement fort :
config system global
set strong-crypto enable
end
Vous trouverez ci-dessous toutes les suites de chiffrement disponibles dans FortiGate (lorsque le chiffrement fort est désactivé) :
TLSv1.1:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_DES_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 128)
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 256)
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (dh 256)
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (dh 256)
| TLS_ECDHE_RSA_WITH_RC4_128_SHA (dh 256)
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_DES_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_RC4_128_MD5 (rsa 1024)
| TLS_RSA_WITH_RC4_128_SHA (rsa 1024)
| TLS_RSA_WITH_SEED_CBC_SHA (rsa 1024)
TLSv1.2:
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 128)
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 128)
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 128)
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 128)
| TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_DES_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 128)
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 256)
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (dh 256)
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (dh 256)
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (dh 256)
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (dh 256)
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (dh 256)
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (dh 256)
| TLS_ECDHE_RSA_WITH_RC4_128_SHA (dh 256)
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 1024)
| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 1024)
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 1024)
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 1024)
| TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_DES_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_RC4_128_MD5 (rsa 1024)
| TLS_RSA_WITH_RC4_128_SHA (rsa 1024)
| TLS_RSA_WITH_SEED_CBC_SHA (rsa 1024)
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 128)
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 128)
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 128)
| TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 128)
| TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_DES_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_SEED_CBC_SHA (dh 128)
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (dh 256)
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (dh 256)
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (dh 256)
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (dh 256)
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (dh 256)
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (dh 256)
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (dh 256)
| TLS_ECDHE_RSA_WITH_RC4_128_SHA (dh 256)
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 1024)
| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 1024)
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 1024)
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 1024)
| TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_DES_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_RC4_128_MD5 (rsa 1024)
| TLS_RSA_WITH_RC4_128_SHA (rsa 1024)
| TLS_RSA_WITH_SEED_CBC_SHA (rsa 1024)
.
Lorsque le cryptage fort est activé, la liste des Suites est réduite à ce qui suit :
TLSv1.1:
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 128)
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (dh 256)
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (dh 256)
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 1024)
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 128)
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (dh 256)
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (dh 256)
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 1024)
TLSv1.2:
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 128)
| TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 128)
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 128)
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 128)
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (dh 256)
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (dh 256)
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (dh 256)
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (dh 256)
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (dh 256)
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (dh 256)
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 1024)
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 1024)
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 1024)
NOTE 1 : Les protocoles cryptographiques SSLv3 et TLSv1.0 ne seront pas fournis lorsque l'authentification forte est activée.
NOTE 2 : Les protocoles cryptographiques TLSv1.1 et TLSv1.2 seront fournis lorsque l'authentification forte est activée.
Activer TLS version 1.2 pour la gestion à distance HTTPS :
NOTE 2 : Les protocoles cryptographiques TLSv1.1 et TLSv1.2 seront fournis lorsque l'authentification forte est activée.
Activer TLS version 1.2 pour la gestion à distance HTTPS :
La commande CLI suivante sera utilisée pour forcer l'utilisation de TLS v.1.2 uniquement :
.
config sys global
set admin-https-ssl-versions tlsv1-2
end
config sys global
set ssh-cbc-cipher disable
set ssh-hmac-md5 disable
end
Diffie-Hellman pour les protocoles HTTPS/SSH :
La commande suivante définit le nombre de bits à utiliser dans l'échange Diffie-Hellman pour les protocoles HTTPS/SSH :
config sys global
set dh-params 8192
end
set tlsv1-0 disable
set tlsv1-1 disable
set tlsv1-2 enable
set algorithm high
unset banned-cipher
end
set admin-https-ssl-versions tlsv1-2
end
Désactiver le cryptage faible (MD5/CBC) dans l'accès SSH :
Les commandes CLI suivantes seront utilisées :
config sys global
set ssh-cbc-cipher disable
set ssh-hmac-md5 disable
end
.
Désactiver les clés de chiffrement statique sur les connexions TLS :
La commande suivante désactive les clés de chiffrement statique sur les connexions TLS (par ex. AES128-SHA, AES256-SHA, AES128-SHA256, AES128-SHA256, AES256-SHA256, AES256-SHA256) :
La commande suivante désactive les clés de chiffrement statique sur les connexions TLS (par ex. AES128-SHA, AES256-SHA, AES128-SHA256, AES128-SHA256, AES256-SHA256, AES256-SHA256) :
config sys global
set ssl-static-key-ciphers disable
end
set ssl-static-key-ciphers disable
end
Diffie-Hellman pour les protocoles HTTPS/SSH :
La commande suivante définit le nombre de bits à utiliser dans l'échange Diffie-Hellman pour les protocoles HTTPS/SSH :
config sys global
set dh-params 8192
end
Activer TLS version 2 et désactiver le cryptage faible pour SSL VPN :
Les commandes CLI suivantes seront utilisées :
config vpn ssl settings Les commandes CLI suivantes seront utilisées :
set tlsv1-0 disable
set tlsv1-1 disable
set tlsv1-2 enable
set algorithm high
unset banned-cipher
end
