Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 13489 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF only 128bit SSL

tetris
Hi, 

i have one ASG that only uses a RC4 encryption 128bit. I guess its a revision 4, Firmware 8.309. 
All of my Rev. 5 and UTM9 are using Camellia 256bit encryption. 

Does the encryption algorythm depend on the ASG revision or is it a bug in my machine?

Thanks for your help  (hope my english was not to bad).


This thread was automatically locked due to age.
Parents
  • 0
    Beast is a client side attack, needed something extra to work (a Java flaw "opened" its way, without Java was just theory, old theory). In TLS 1.1/1.2 the CBC suites are OK.
    It's not much you can do on server side.

    The PCI group mostly comes with a report generated by an automatic scanner, report which is full of we know what [:)]
    Normally such things are worked out with the PCI guy who deals with the report.

    If I connect with Chrome to v9 admin UI, Chrome says TLS 1.2 and AES GCM. Which coresps to what Bob posted above regarding OpenSSL. Don't have the WAF enabled to test.
    If I connect to v8, says RC4 and TLS 1.0.

    Ivan Risti?: Updated SSL/TLS Deployment Best Practices deprecates RC4

    Currently there is not a straight way to secure things. Probably the most practical way is to prioritize the cipher suites and put last likes as RC4/3DES. Disabling those will disable IE6 clients.

    If you do a "openssl ciphers -V" you should see the available ciphers on the UTM.
Reply
  • 0
    Beast is a client side attack, needed something extra to work (a Java flaw "opened" its way, without Java was just theory, old theory). In TLS 1.1/1.2 the CBC suites are OK.
    It's not much you can do on server side.

    The PCI group mostly comes with a report generated by an automatic scanner, report which is full of we know what [:)]
    Normally such things are worked out with the PCI guy who deals with the report.

    If I connect with Chrome to v9 admin UI, Chrome says TLS 1.2 and AES GCM. Which coresps to what Bob posted above regarding OpenSSL. Don't have the WAF enabled to test.
    If I connect to v8, says RC4 and TLS 1.0.

    Ivan Risti?: Updated SSL/TLS Deployment Best Practices deprecates RC4

    Currently there is not a straight way to secure things. Probably the most practical way is to prioritize the cipher suites and put last likes as RC4/3DES. Disabling those will disable IE6 clients.

    If you do a "openssl ciphers -V" you should see the available ciphers on the UTM.
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?