Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 1984 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG 220 - 7.511 - Vulnerability Scan - PCI Compliance

kellym_01
As part of our migration to a new credit card processing service - the vendor required a Vulnerability Scan to be run against our firewall (ASG 220 - 7.511).

The ASG almost escaped unscathed - other than an issue with SSLv2 (tcp/3400). Apparently our ASG220 accepted a SSLv2 connection.  SSLv2 has some known "cryptographic weaknesses" that make it no PCI compliant.  Obviously this is an old protocol...

Not sure if this is configurable - or has been resolved in newer firmware/updates (we tend to lag a bit behind the "bleeding edge" on updates).

A secondary issue also was flagged - in that the "System Responds to SYN+FIN TCP Packets"...

Any thoughts or suggestions.


This thread was automatically locked due to age.
Parents
  • 0
    Hi, you'll need to upgrade to v8 or v9; 7.5 is EOL in December.

    1. I've posted about SYN FIN scans at
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/33668

    I'm not 100% certain it's fixed, but it has not come up on our PCI scans since upgrading to 8.3x.
    However, our 7.5x system has never been flagged for this, so it seem to be somewhat hit-or-miss. The PortScan prevention is probably dropping most of the scan traffic.


    2. If I'm reading this right, my v9.001 firewall is not accepting SSLv2 negotiation, at least on the webadmin port:

    $ openssl s_client -connect fw:4444 -ssl2                    
    CONNECTED(00000003)
    140595866183496:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:430:
    ---
    no peer certificate available
    ---
    No client certificate CA names sent
    ---
    SSL handshake has read 0 bytes and written 45 bytes
    ---
    New, (NONE), Cipher is (NONE)
    Secure Renegotiation IS NOT supported
    Compression: NONE
    Expansion: NONE
    SSL-Session:
        Protocol  : SSLv2
        Cipher    : 0000
        Session-ID: 
        Session-ID-ctx: 
        Master-Key: 
        Key-Arg   : None
        Krb5 Principal: None
        PSK identity: None
        PSK identity hint: None
        Start Time: 1347488041
        Timeout   : 300 (sec)
        Verify return code: 0 (ok)
    ---


    Barry
Reply
  • 0
    Hi, you'll need to upgrade to v8 or v9; 7.5 is EOL in December.

    1. I've posted about SYN FIN scans at
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/53/t/33668

    I'm not 100% certain it's fixed, but it has not come up on our PCI scans since upgrading to 8.3x.
    However, our 7.5x system has never been flagged for this, so it seem to be somewhat hit-or-miss. The PortScan prevention is probably dropping most of the scan traffic.


    2. If I'm reading this right, my v9.001 firewall is not accepting SSLv2 negotiation, at least on the webadmin port:

    $ openssl s_client -connect fw:4444 -ssl2                    
    CONNECTED(00000003)
    140595866183496:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:430:
    ---
    no peer certificate available
    ---
    No client certificate CA names sent
    ---
    SSL handshake has read 0 bytes and written 45 bytes
    ---
    New, (NONE), Cipher is (NONE)
    Secure Renegotiation IS NOT supported
    Compression: NONE
    Expansion: NONE
    SSL-Session:
        Protocol  : SSLv2
        Cipher    : 0000
        Session-ID: 
        Session-ID-ctx: 
        Master-Key: 
        Key-Arg   : None
        Krb5 Principal: None
        PSK identity: None
        PSK identity hint: None
        Start Time: 1347488041
        Timeout   : 300 (sec)
        Verify return code: 0 (ok)
    ---


    Barry
Children
No Data