Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 1982 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG 220 - 7.511 - Vulnerability Scan - PCI Compliance

kellym_01
As part of our migration to a new credit card processing service - the vendor required a Vulnerability Scan to be run against our firewall (ASG 220 - 7.511).

The ASG almost escaped unscathed - other than an issue with SSLv2 (tcp/3400). Apparently our ASG220 accepted a SSLv2 connection.  SSLv2 has some known "cryptographic weaknesses" that make it no PCI compliant.  Obviously this is an old protocol...

Not sure if this is configurable - or has been resolved in newer firmware/updates (we tend to lag a bit behind the "bleeding edge" on updates).

A secondary issue also was flagged - in that the "System Responds to SYN+FIN TCP Packets"...

Any thoughts or suggestions.


This thread was automatically locked due to age.
  • 0
    Hi, you'll need to upgrade to v8 or v9; 7.5 is EOL in December.

    1. I've posted about SYN FIN scans at
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/33668

    I'm not 100% certain it's fixed, but it has not come up on our PCI scans since upgrading to 8.3x.
    However, our 7.5x system has never been flagged for this, so it seem to be somewhat hit-or-miss. The PortScan prevention is probably dropping most of the scan traffic.


    2. If I'm reading this right, my v9.001 firewall is not accepting SSLv2 negotiation, at least on the webadmin port:

    $ openssl s_client -connect fw:4444 -ssl2                    
    CONNECTED(00000003)
    140595866183496:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:430:
    ---
    no peer certificate available
    ---
    No client certificate CA names sent
    ---
    SSL handshake has read 0 bytes and written 45 bytes
    ---
    New, (NONE), Cipher is (NONE)
    Secure Renegotiation IS NOT supported
    Compression: NONE
    Expansion: NONE
    SSL-Session:
        Protocol  : SSLv2
        Cipher    : 0000
        Session-ID: 
        Session-ID-ctx: 
        Master-Key: 
        Key-Arg   : None
        Krb5 Principal: None
        PSK identity: None
        PSK identity hint: None
        Start Time: 1347488041
        Timeout   : 300 (sec)
        Verify return code: 0 (ok)
    ---


    Barry
  • 0
    BTW, if the above didn't help and you you need to 'fix' the SSL issue for the scan, 

    1. remove the ANY or Internet definition from 'Allowed Networks' for webadmin, and add in your admin networks.

    2. do the same for the end-user portal, or disable it

    3. you may also need to disable the SSL VPN.

    Barry
  • 0
    I just tested my 7.509 system and get the following:

    openssl s_client -connect fw2:4444 -ssl2
    CONNECTED(00000003)
    139955402442568:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:430:
    ---
    no peer certificate available
    ---
    No client certificate CA names sent
    ---
    SSL handshake has read 0 bytes and written 45 bytes
    ---
    New, (NONE), Cipher is (NONE)
    Secure Renegotiation IS NOT supported
    Compression: NONE
    Expansion: NONE
    SSL-Session:
        Protocol  : SSLv2
        Cipher    : 0000
        Session-ID: 
        Session-ID-ctx: 
        Master-Key: 
        Key-Arg   : None
        Krb5 Principal: None
        PSK identity: None
        PSK identity hint: None
        Start Time: 1347489029
        Timeout   : 300 (sec)
        Verify return code: 0 (ok)
    ---



    openssl s_client -connect fw2:443 -ssl2 
    CONNECTED(00000003)
    140329520252744:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:430:
    ---
    no peer certificate available
    ---
    No client certificate CA names sent
    ---
    SSL handshake has read 0 bytes and written 45 bytes
    ---
    New, (NONE), Cipher is (NONE)
    Secure Renegotiation IS NOT supported
    Compression: NONE
    Expansion: NONE
    SSL-Session:
        Protocol  : SSLv2
        Cipher    : 0000
        Session-ID: 
        Session-ID-ctx: 
        Master-Key: 
        Key-Arg   : None
        Krb5 Principal: None
        PSK identity: None
        PSK identity hint: None
        Start Time: 1347489147
        Timeout   : 300 (sec)
        Verify return code: 0 (ok)
    ---

    I think SSLv2 is already disabled.

    Barry
  • 0
    Re SYN/FIN:

    I did some more testing using nmap...
    sudo nmap -v -v --scanflags SYNFIN -P0 -p80,443 

    The "Use strict TCP session handling" option seems to be working, at least on 8.x; it's dropping the incoming packets.

    However, even with "strict TCP session handling", 7.509 isn't dropping the INCOMING SYN FIN packets; it only drops the REPLIES (ACK FIN) from the server behind the firewall.

    2012:09:12-16:03:36 fw2 ulogd[3416]: id="2012" severity="info" sys="SecureNet" sub="packetfilter" name="strict TCP state" action="strict TCP state" fwrule="60009" seq="0" outitf="eth0" srcip="INTERNAL SERVER" dstip="NMAP ATTACKER" proto="6" length="44" tos="0x00" prec="0x00" ttl="64" srcport="443" dstport="45293" tcpflags="ACK SYN"


    Anyways, the "strict TCP session handling" should prevent the replies from getting out, which might help with the scans.

    Barry
  • 0
    Barry,

    Thanks for taking the time to reply to this post.  

    It'll take me a bit to work through all that you shared [:)]

    Again...I appreciate your efforts!

    KM