Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 13845 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF only 128bit SSL

tetris
Hi, 

i have one ASG that only uses a RC4 encryption 128bit. I guess its a revision 4, Firmware 8.309. 
All of my Rev. 5 and UTM9 are using Camellia 256bit encryption. 

Does the encryption algorythm depend on the ASG revision or is it a bug in my machine?

Thanks for your help  (hope my english was not to bad).


This thread was automatically locked due to age.
  • 0
    Hi, what is not working?

    Barry
  • 0
    I think it depends on the version of the ASG software, due to new implemented features in later versions [;)] lots of things have been changed between v.8 and V.9, so I don't think it's a bug.
  • 0
    Hello,

    I can confirm that my UTM9 also uses a RC4_128 bit encryption in waf. I did not found a way to change this setting.
    Maybe there is someone who can explain this behaviour to us?

    Best regards
    Junkz
  • 0
    Hi,

    I got the same issue and worked down the config files of the UTM9

    It's all about this file:

    /var/chroot-reverseproxy/usr/apache/conf/httpd.conf

    and these lines:

    =>
    SSLCipherSuite RC4:HIGH:!MD5:!aNULL:!EDH
    SSLProtocol all -SSLv2 
    Configuring Apache, Nginx, and OpenSSL for Forward Secrecy

    Remember:
    First: If you change anything on the UTM via Shell, you won't get any support by Sophos Second: If you break anything it isn't my fault!

    However, I didn't find a good way to restart the waf on the command line, then rebooting the UTM. 
    Maybe someone can help me out at this point.
  • 0 in reply to AndiB.
    Thanks for your solution!

    I remember that it has a reason based on the security of the encryption algorithms to use rc4 instead of any other...

    Anyway.. it is (in my opinion) not a good way to edit "hidden" configurations on a productive ha system... :-(
  • 0
    Hi, a lot of systems are using RC4 because of the BEAST (browser) vulnerability in TLS.
    (despite the fact that browser fixes are widely available. This is largely the fault of the PCI DSS system, imho)

    Barry
  • 0
    @tetris: You are absolutely right. Changing this file won't be a good idea in productive systems.  As I said, you may void your support!
    But in out Testing environment it worked fine.

    @BarryG: Does PCI DSS prefer RC4 based ciphers? 
    I found a thread on serverfault, which makes me believe this:

    apache2 - Disable all but RC4 in apache - Server Fault

    On the other hand, why aren't some other secure ciphers based on TLSv1.1/TLSv1.2 offered by the WAF?
  • 0 in reply to AndiB.
    @BarryG: Does PCI DSS prefer RC4 based ciphers? 
    I found a thread on serverfault, which makes me believe this:


    My understanding is Yes, until newer TLS versions are widely deployed.

    Barry
  • 0
    Actually not. RC4 cipher suites should be disabled due to RC4 weakness.
    There is a possible RFC on the way to prohibit its use in TLS:
    draft-popov-tls-prohibiting-rc4-01 - Prohibiting RC4 Cipher Suites
    MS issued an advisory:
    Security Advisory 2868725: Recommendation to disable RC4 - Security Research & Defense - Site Home - TechNet Blogs

    It would be wise to set only needed cipher suites and order them in the server side preferred order, else the cipher used will depend on browser's list (e.g. firefox may use Camellia)

    for example, a "safe/perf/sec" compat config (includes RC4 but is least preferred, and preferred are the AES-based ones for AES-NI hw offload support + ephemerity support) would be (assuming openssl version is > 1.0 and apache version TLS 1.1/1.2 compat, don't recall the version with the change):
    http://pastebin.com/7wxS1YWU

    not sure what UTM uses in latest, but newer linux distros have support for above.
    you might want to check the openssl version on the UTM and the supported cipher suites + the apache version to see what is possible to use from that list (e.g. take out TLS 1.1/1.2 and 1.2 cipher suites).
  • 0
    OpenSSL 1.0.1e 11 Feb 2013
    Cipher commands (see the `enc' command for more details)
    aes-128-cbc       aes-128-ecb       aes-192-cbc       aes-192-ecb
    aes-256-cbc       aes-256-ecb       base64            bf
    bf-cbc            bf-cfb            bf-ecb            bf-ofb
    camellia-128-cbc  camellia-128-ecb  camellia-192-cbc  camellia-192-ecb
    camellia-256-cbc  camellia-256-ecb  cast              cast-cbc
    cast5-cbc         cast5-cfb         cast5-ecb         cast5-ofb
    des               des-cbc           des-cfb           des-ecb
    des-ede           des-ede-cbc       des-ede-cfb       des-ede-ofb
    des-ede3          des-ede3-cbc      des-ede3-cfb      des-ede3-ofb
    des-ofb           des3              desx              rc2
    rc2-40-cbc        rc2-64-cbc        rc2-cbc           rc2-cfb
    rc2-ecb           rc2-ofb           rc4               rc4-40
    seed              seed-cbc          seed-cfb          seed-ecb
    seed-ofb          zlib

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML