ISAKMP允许弱IPsec加密设置(符合PCI要求)

Question

我正在研究客户端的PCI遵从性。失败的项目之一是：

3.1.5。ISAKMP允许弱IPsec加密设置(ipsec弱加密设置)

给出的解决方案是：“修改ISAKMP设置，只允许协商安全加密算法。”

有人能给我一些更详细的细节来说明我如何解决这个问题吗？

操作系统为SBS2011，使用Exchange2010，IIS7.5

Answer 1

您可以通过访问服务于VPN隧道的设备或服务器和"改性 ISAKMP设置，只允许协商安全加密算法“来解决此问题。它可能允许较弱的加密选项用于遗留支持，因此您可以关闭它。老实说，这听起来真的像是你对这位客户的深度太深了。

这并不是说我听起来太像迪克或鹦鹉把问题信息拿回给你，但它实际上就像改变VPN隧道上的设置以执行更强的加密(更现代的算法和/或更长的密钥)一样简单。这甚至可能就像禁用对DES的支持一样简单，因为DES是许多年前的通用标准，但现在却非常不安全。

在您的SBS/Exchange服务器上似乎不会发现这种情况(尽管我看到了一些奇怪的事情)，我建议您首先查看路由设备，特别是可能用作VPN用户连接点的任何防火墙或边缘设备，在那里将协商VPN隧道。

Answer 2

尝试禁用isakmp攻击模式。攻击模式比主模式更快，但安全性较低，因为它只通过3个身份验证包。一般建议使用主模式而不是攻击模式。如果必须使用主动模式处理性能问题，例如，请使用公钥加密身份验证。

Answer 3

禁用DES和MD5