En este documento se describe la posición de soporte de la ingeniería con respecto a una aplicación McAfee.
Al
Este documento aborda las preocupaciones sobre el servidor de ePO, Controlador de agentes y la compatibilidad con McAfee Agent para
Transport Layer Security TLS 1.2.
Descripción
Versiones de TLS 1.0 (
RFC 2246) y 1.1 (
RFC 4346) incluyen suites de cifrado basadas en los algoritmos DES (estándar de cifrado de datos) y IDEA (algoritmo de cifrado de datos internacional). DES y IDEA ya no se recomiendan para uso general en TLS y se han eliminado de TLS. 1.2.
NOTA: Lo anterior también se aplica a los elementos que se indican a continuación:
- Qualys QID-38628: SSL/TLS Server supports TLSv1.0.
- Nessus PluginID 104743: TLS Version 1.0 Protocol Detection
Investigación y conclusiones
Comunicación entre el Controlador de agentes y el McAfee Agent 4.8 utiliza TLS 1.0y desactivar TLS 1.0 rompe el McAfee Agent 4.8 capacidad de comunicarse con el servidor de ePO/Controladores de agentes.
IMPORTANTE: McAfee Agent 4.8 es el fin del ciclo de vida (excluye HP-UX, AIX y Solaris). MA 4.8 solo se puede utilizar TLS 1.0. No es posible configurarlo para que se comunique mediante TLS 1.2 con el servidor de ePO/Controlador de agentes con la implementación actual. Amplíe a la McAfee Agent más reciente 5.x que admite TLS 1.2.
De forma predeterminada, McAfee Agent 5.x se comunica mediante TLS 1.2. Lo hace siempre que el servidor de ePO y el Controlador de agentes admita TLS 1.2. Cuando el servidor no compatibilidad con TLS 1.2, MA cambia a TLS 1.1y, a continuación, TLS 1.0.
La siguiente solución temporal fuerza McAfee Agent 5.x agentes para comunicarse solo mediante TLS 1.2 con Controladores de agentes (local y remota).
Controlador de agentes local:
- Inicie sesión en el servidor de ePO.
- Desplácese hasta la siguiente carpeta:
32 bits: "C:\Program Files\McAfee\ePolicy Orchestrator\Apache2\conf\"
64 bits: "C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\"
- Editar el archivo ssl.conf y cambie la siguiente línea:
De: SSLProtocol all -SSLv3 -SSLv2
Para:
SSLProtocol +TLSv1.2
- Reinicie el Controlador de agentes (servicio de Apache).
Controlador de agentes remoto:
- Inicie sesión en el Controlador de agentes remoto.
- Desplácese hasta la siguiente carpeta Controlador de agentes:
32 bits: "C:\Program Files\McAfee\Agent Handler\Apache2\conf\"
64 bits: "C:\Program Files (x86)\McAfee\Agent Handler\Apache2\conf\"
- Editar el archivo ssl.conf y cambie la siguiente línea:
De: SSLProtocol all -SSLv3 -SSLv2
Para:
SSLProtocol +TLSv1.2
- Reinicie el Controlador de agentes (servicio de Apache).
Desactivación de TLS 1.0 así 1.1 para Tomcat
También puede desactivar TLS 1.0 o TLS 1.1 para el servicio servidor de aplicaciones de ePO (Tomcat), que escucha en el puerto 8443 o 8444 de forma predeterminada, mediante las siguientes instrucciones:
ADVERTENCIA: Si sigue estas instrucciones, podría representar algunas versiones antiguas del navegador que no pueden acceder a la consola de ePO porque es posible que no sean compatibles con TLS. 1.2.
- Vaya a: \Server\conf
- Cree una copia de seguridad del archivo server.xml.
- Editar el archivo server.xml y actualizar la sslProtocol y sslEnabledProtocols atributos del valor especificado Conectores los
- Abrir el archivo server.xml.
- En cada uno Conectores elemento, modifique la sslProtocol así sslEnabledProtocols atributos como se muestra en el siguiente ejemplo. Lleve a cabo este paso tanto para los puertos de escucha de Tomcat 8443 y 8444.
Orchestrator 5.3 como
clientAuth="want" disableUploadTimeout="true"
enableLookups="false" id="orion.server.https"
keystoreFile="keystore/server.keystore"
keystorePass="snowcap" maxHttpHeaderSize="8192"
maxThreads="250" minSpareThreads="25" port="8443"
scheme="https" secure="true" server="Undefined"
sessionCacheSize="400" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2"
NOTAS:
- Para desactivar solo TLS 1.0 y dejar TLS 1.1 activada, el sslEnabledProtocols la entrada tendría el siguiente aspecto: sslEnabledProtocols="TLSv1.1,TLSv1.2"
- Si el sslEnabledProtocols el atributo no existe, agréguelo inmediatamente a continuación del sslProtocol sin.
- Reiniciar el McAfee ePolicy Orchestrator 5.x Servidor de aplicaciones presta.
Claim
Las fechas de publicación de productos futuras que se mencionan en esta declaración tienen como objetivo describir nuestra dirección general del producto. No se puede confiar en que tomar una decisión de compra:
- Las fechas de publicación del producto solo son para fines informativos y es posible que no se incorporen a ningún contrato.
- Las fechas de publicación del producto no son una obligación de compromiso, promesa o legal de entregar material, código o funcionalidad.
- El desarrollo, la publicación y la temporización de cualquier función o funcionalidad descrita para nuestros productos sigue siendo nuestra exclusiva discreción. Es posible que se cambien o se cancelen en cualquier momento.
Palabra clave relacionada: CVE-2009-3555