Desactivando SSLv2 y SSLv3 en Checkpoint

Para la resolución de la vulnerabilidad POODLE SSL

Estos pasos sirven para la versión R76,R77 y superiores

Se siguen los pasos del siguiente enlace https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk102989#HTTPS en el punto Recommendations for Multi Portal (software blades portals), se indica lo siguiente:

Configure Multi Portal not to use SSLv3.

Multi Portal is used to run software blades’ portals on TCP port 443. Software blades that can be configured with such portal are: Mobile Access Blade, VPN (Remote Access), Identity Awareness, DLP or when UserCheck is configured to use port 443.

  1. In SmartDashboard, go to ‘Policy‘ menu – click on ‘Global Properties…‘. 
  2. Go to ‘SmartDashboard Customization‘ pane – in the ‘Advanced Configuration‘ section, click on ‘Configure…‘ button. 
  3. Go to ‘Portal Properties‘ page. 
  4. In the ‘snx_ssl_min_ver‘ field (Lowest SSL/TLS version for portals), change from SSLv3 (default) to TLS1.0
  5. Click ‘OK‘ to apply the changes. 
  6. Install policy on all managed Security Gateways. ”

A continuación mostramos la configuración por defecto donde podemos ver que ssl_mon_ver está con SSLv3:

 Procedemos entonces a cambiar ssl_min_ver a TLS1.0:

Al finalizar se realiza “Install Database” y posterior a la correcta instalación se instala política.

Agradecimientos

Agradecemos a Valeria Velasteguí de la EPN por ayudarnos a generar el documento y validar la configuración apropiada.