En este documento se describe la posición de soporte de la ingeniería con respecto a una aplicación McAfee.

Al
Este documento aborda las preocupaciones sobre el servidor de ePO, Controlador de agentes y la compatibilidad con McAfee Agent para Transport Layer Security TLS 1.2.

Descripción
Versiones de TLS 1.0 (RFC 2246) y 1.1 (RFC 4346) incluyen suites de cifrado basadas en los algoritmos DES (estándar de cifrado de datos) y IDEA (algoritmo de cifrado de datos internacional). DES y IDEA ya no se recomiendan para uso general en TLS y se han eliminado de TLS. 1.2.

NOTA: Lo anterior también se aplica a los elementos que se indican a continuación:

Investigación y conclusiones

Comunicación entre el Controlador de agentes y el McAfee Agent 4.8 utiliza TLS 1.0y desactivar TLS 1.0 rompe el McAfee Agent 4.8 capacidad de comunicarse con el servidor de ePO/Controladores de agentes.

IMPORTANTE: McAfee Agent 4.8 es el fin del ciclo de vida (excluye HP-UX, AIX y Solaris). MA 4.8 solo se puede utilizar TLS 1.0. No es posible configurarlo para que se comunique mediante TLS 1.2 con el servidor de ePO/Controlador de agentes con la implementación actual. Amplíe a la McAfee Agent más reciente 5.x que admite TLS 1.2.

De forma predeterminada, McAfee Agent 5.x se comunica mediante TLS 1.2. Lo hace siempre que el servidor de ePO y el Controlador de agentes admita TLS 1.2. Cuando el servidor no compatibilidad con TLS 1.2, MA cambia a TLS 1.1y, a continuación, TLS 1.0.

La siguiente solución temporal fuerza McAfee Agent 5.x agentes para comunicarse solo mediante TLS 1.2 con Controladores de agentes (local y remota).

Desactivación de TLS 1.0 así 1.1 para Tomcat
También puede desactivar TLS 1.0 o TLS 1.1 para el servicio servidor de aplicaciones de ePO (Tomcat), que escucha en el puerto 8443 o 8444 de forma predeterminada, mediante las siguientes instrucciones:

ADVERTENCIA: Si sigue estas instrucciones, podría representar algunas versiones antiguas del navegador que no pueden acceder a la consola de ePO porque es posible que no sean compatibles con TLS. 1.2.

1. Vaya a: \Server\conf
2. Cree una copia de seguridad del archivo server.xml.
3. Editar el archivo server.xml y actualizar la sslProtocol y sslEnabledProtocols atributos del valor especificado Conectores los
   1. Abrir el archivo server.xml.
   2. En cada uno Conectores elemento, modifique la sslProtocol así sslEnabledProtocols atributos como se muestra en el siguiente ejemplo. Lleve a cabo este paso tanto para los puertos de escucha de Tomcat 8443 y 8444.
      
      Orchestrator 5.3 como
      clientAuth="want" disableUploadTimeout="true"
      enableLookups="false" id="orion.server.https"
      keystoreFile="keystore/server.keystore"
      keystorePass="snowcap" maxHttpHeaderSize="8192"
      maxThreads="250" minSpareThreads="25" port="8443"
      scheme="https" secure="true" server="Undefined"
      sessionCacheSize="400" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2"
      NOTAS:

      • Para desactivar solo TLS 1.0 y dejar TLS 1.1 activada, el sslEnabledProtocols la entrada tendría el siguiente aspecto: sslEnabledProtocols="TLSv1.1,TLSv1.2"
      • Si el sslEnabledProtocols el atributo no existe, agréguelo inmediatamente a continuación del sslProtocol sin.
4. Reiniciar el McAfee ePolicy Orchestrator 5.x Servidor de aplicaciones presta.

• Las fechas de publicación del producto solo son para fines informativos y es posible que no se incorporen a ningún contrato.
• Las fechas de publicación del producto no son una obligación de compromiso, promesa o legal de entregar material, código o funcionalidad.
• El desarrollo, la publicación y la temporización de cualquier función o funcionalidad descrita para nuestros productos sigue siendo nuestra exclusiva discreción. Es posible que se cambien o se cancelen en cualquier momento.

Palabra clave relacionada: CVE-2009-3555