add references and suggestions as recommended by karsten iwen to the Cisco ASA section
authorAaron Zauner <azet@azet.org>
Mon, 16 Dec 2013 23:41:11 +0000 (00:41 +0100)
committerAaron Zauner <azet@azet.org>
Mon, 16 Dec 2013 23:41:11 +0000 (00:41 +0100)
src/practical_settings/vpn.tex

index 9f52ed7..5727fb1 100644 (file)
@@ -377,7 +377,7 @@ be decrypted.
 The following settings reflect our recommendations as best as possible on the Cisco ASA platform. These are - of course - just settings regarding SSL/TLS (i.e. Cisco AnyConnect) and IPSec. For further security settings regarding this platform the appropriate Cisco guides should be followed.
 \begin{description}
 \item[Tested with Version:] 
-9.1(3)
+9.1(3) - X-series model
 \item[Settings:] \mbox{}
 \begin{lstlisting}[breaklines]
 crypto ipsec ikev2 ipsec-proposal AES-Fallback
@@ -447,10 +447,13 @@ ssl trust-point ASDM_TrustPoint0 Outside-DMZ
 \item[Justification for special settings (if needed):] \mbox{}
 New IPsec policies have been defined which do not make use of ciphers that may be cause for concern. Policies have a "Fallback" option to support legacy devices.
 
-% in case you have the need for further justifications why you chose this and that setting or if the settings do not fit into the standard Variant A or Variant B schema, please document this here
+3DES has been completely disabled as such Windows XP AnyConnect Clients will no longer be able to connect.
+
+Legacy ASA models (e.g. 5505, 5510, 5520, 5540, 5550) do not offer the possibility to configure for SHA256/SHA384/SHA512 nor AES-GCM.
 
 \item[References:] 
-\url{http://www.cisco.com/en/US/docs/security/asa/roadmap/asaroadmap.html}
+\url{http://www.cisco.com/en/US/docs/security/asa/roadmap/asaroadmap.html}\\
+\url{http://www.cisco.com/web/about/security/intelligence/nextgen_crypto.html}
 
 % add any further references or best practice documents here