Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
731
Visitas
1
ÚTIL
4
Respuestas

puntuación en ssllabs

Ir a solución
armandoasfar88
Spotlight
Spotlight

el ‎05-23-2023 05:34 AM

Hola expertos,

Mi jefe paso el URL de nuestro asa, ese URL es el que se usa para los usuarios de anyconnect, el resulltado que nos dio es un "B"

- servidor soporta in debil DH

- no soporta renegociacion segura

- no soporta  Forward Secrecy

- servidor solo soporta TLS1.0 y TLS1.1

lo que trato de entender es que esto no esta relacionado con mi certificado sino con mi webserver de la URL utilizado para mi annyconnect?, en si el asa se convierte en un servidor web cuando usas anyconnect o estoy equivocado?, y como puedo mejorar esto para tener una mejor puntuación?, my asa esta en version 9.11 

 

Etiquetas:
0 Útil
1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Ir a solución
Julio E. Moisa
VIP
VIP
En respuesta a armandoasfar88

el ‎05-25-2023 06:08 AM

Hola Armando,

El Diffie Hellman group es parte de las politicas de la fase 1 de una VPN, que incluso en las fase 2 puedes agregarlo para reforzar. 

https://community.cisco.com/t5/vpn/diffie-hellman-groups-asa-firewalls/td-p/2260006

Saludos, 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Ver la solución en mensaje original publicado

0 Útil
4 RESPUESTAS 4

Ir a solución
Julio E. Moisa
VIP
VIP

‎05-23-2023 06:55 AM - editado ‎05-23-2023 06:57 AM

Hola

El DH lo puedes cambiar en la parte de politica. El Forward Secrecy revisa este enlace: https://community.cisco.com/t5/vpn/anyconnect-perfect-forward-secrecy/td-p/3324415

Revisa los puertos que utilizas aqui puedes agregar un socket, estos los puedes cambiar en el webvpn.

Revisa los siguientes links para aplicar un hardening al ASA

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/200150-Cisco-Guide-to-Harden-Cisco-ASA-Firewall.html

https://markhorr.wordpress.com/2021/03/04/cisco-asa-hardening-guide/

https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/configuration/vpn/asa-910-vpn-config/vpn-params.html

 

Saludos, 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Ir a solución
armandoasfar88
Spotlight
Spotlight
En respuesta a Julio E. Moisa

el ‎05-23-2023 07:37 AM

entonces si te entendí, esto no esta relacionado a mi certificado sino a mi url que uso para anyconnect?

0 Útil

Ir a solución
armandoasfar88
Spotlight
Spotlight
En respuesta a Julio E. Moisa

el ‎05-25-2023 05:06 AM

@Julio E. Moisa "El DH lo puedes cambiar en la parte de politica"

No encuentro esta parte, es una confiugureacion que debo cambiar en el ASA verdad?, pero cuál exactamente?

0 Útil

Ir a solución
Julio E. Moisa
VIP
VIP
En respuesta a armandoasfar88

el ‎05-25-2023 06:08 AM

Hola Armando,

El Diffie Hellman group es parte de las politicas de la fase 1 de una VPN, que incluso en las fase 2 puedes agregarlo para reforzar. 

https://community.cisco.com/t5/vpn/diffie-hellman-groups-asa-firewalls/td-p/2260006

Saludos, 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<
0 Útil

Navegue y encuentre contenido personalizado de la comunidad

Documentos de Seguridad Videos de Seguridad Otros Eventos de Seguridad
Customers Also Viewed These Support Documents