Comment activer TLS 1.2 Suites de chiffrement sur Network Security Platform
Articles techniques ID:
KB94638
Date de la dernière modification : 23/09/2021
Environnement
McAfee Network Security Manager
McAfee Network Security Sensor Appliance
Problème
Versions plus anciennes de NSM utilisant TLS 1.0/1.1 les chiffrements peuvent devenir vulnérables aux attaques exploit.
Pour résoudre ce problème, McAfee vous recommande vivement d’effectuer une mise à niveau vers la dernière version du NSP 10.1 les versions du logiciel utilisent un chiffrement renforcé suite dans NSM pour Sensor les communications.
Toutefois, une mise à niveau n’est peut-être pas une option.
NSM, en tant que logiciel de gestion, prend en charge les modèles de capteurs hétérogènes exécutant différentes versions de logiciel de capteur.
Vous pouvez avoir des capteurs M-Series, qui prennent en charge TLSv1.0 développé. Ou, il se peut que vous exécutiez des capteurs VM et NS-Series, sur un logiciel de capteur plus ancien qui ne prenne en charge que TLS. 1.0/1.1.
Vous devez conserver votre infrastructure existante, mais limiter la communication NSP à TLS 1.2.
NSM 10.1 M4 vous permet de restreindre ses opérations à TLS. 1.2 Protocole, à condition que les capteurs connectés prennent également en charge TLS 1.2.
Si vous ne parvenez pas à effectuer la mise à niveau immédiate de votre configuration vers la dernière NSP 10.1 logiciel, utilisez la solution suivante pour activer TLS 1.2 sur votre serveur NSM.
Solution
IMPORTANT :
- Lisez l’ensemble de la solution et assurez-vous que vous devez redémarrer NSM et mettre à niveau votre logiciel Sensor
- Vous devez suivre la procédure ci-dessous.
- Après TLS 1.2 est activé sur NSM, vous vient Ajouter des capteurs avec d’anciennes versions du logiciel qui ne prennent pas en charge TLS 1.2 chiffrements
- Lorsque vous configurez NSM pour utiliser exclusivement TLS1.2, La communication Sensor-à-Manager est interrompue pour les anciennes versions du logiciel Sensor.
Avoir impérative Mettez à niveau votre Sensor vers une version logicielle qui ne prend en charge que le protocole TLS 1.2 chiffrements
Pour obtenir un guide des versions minimales requises, reportez-vous au tableau de la section : Configuration de la communication NSM-Sensor pour utiliser uniquement TLS 1.2 ci-dessous
Activer le navigateur client pour la communication NSM à l’aide de TLS 1.2
- Mise à niveau de votre gestionnaire 10.1.7.35 ou version ultérieure.
- Accédez à : /App/apache-tomcat/conf/.
- Prendre une copie de la Server.xml fichier et placez-le dans un endroit sûr.
- Lecture Server.xml dans un éditeur de votre choix.
- Accédez à la section.
- Faites défiler vers le bas jusqu’à :
sslEnabledProtocols="TLSv1.2"
- Supprimez les chiffrements suivants :
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,
Votre section modifiée se présente comme suit :
sslEnabledProtocols = "TLSv1.2"
ciphers = "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256"
maxPostSize = "10485760"
URIEncoding = "UTF-8"/>
- Enregistrez les modifications.
Configuration de la communication NSM-Sensor pour utiliser uniquement TLS 1.2:
- Accédez à /App/config/.
- Prenez une copie de EMS. Properties et placez-la dans un répertoire sûr.
- Lecture ems.properties dans un éditeur de votre choix.
- Faites défiler la liste jusqu’à la fin ems.properties.
- Insérez la ligne :
iv.core.ism.ssl.allowOnlyTLSv1.2=true
- Enregistrez vos modifications et redémarrez le service NSM.
- Mettez à niveau votre logiciel Sensor vers une version qui ne prend en charge que le protocole TLS configuré. 1.2 Chiffrements
(TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256)
FAUT La communication Sensor vers Manager s’est désormais arrêtée à moins que vous ne procédiez à la mise à niveau de votre Sensor vers une version logicielle prenant en charge TLS uniquement 1.2 chiffrements.
Mettez à niveau vos capteurs vers la version minimale suivante, ou version ultérieure si possible :
Version Sensor |
Mode |
Non-FIPS |
CERTIFICATION |
FIPS + CC |
9.1 |
NS-Series |
9.1.5.102 - 9.1 M7 |
9.1.17.18 - 9.1M7 |
9.1.17.121 - 9.1M7 |
M-Series |
9.1.3.18 - 9.1 M7 |
-- |
-- |
VM |
9.1.7.27 - 9.1 M7 |
-- |
-- |
9.2 |
NS-Series |
9.2.5.190 – 9.2 M6 |
-- |
|
M-Series |
-- |
-- |
-- |
VM |
9.2.7.65 - 9.2 M6 |
-- |
-- |
10.1 |
NS-Series |
10.1.5.92 – 10.1 Cruciforme |
-- |
-- |
VM |
10.1.7.65 – 10.1 Cruciforme |
10.1.17.26 – 10.1 Cruciforme |
10.1.17.26 – 10.1 Cruciforme |
Configurez votre serveur NSM de sorte que les analyses de vulnérabilités ne le répertorient pas comme utilisant des suites de chiffrement plus faibles et plus anciennes :
- Accédez à /App/jre/lib/security/.
- Effectuez une sauvegarde de la java.security fichier et placez-le dans un endroit sûr.
- Lecture java.security dans un éditeur de fichiers.
- Faites défiler la ligne jusqu’à la ligne suivante :
- NSM 9.1:
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 768
- NSM 9.2:
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 768
- NSM 10.1:
jdk.tls.disabledAlgorithms=anon, NULL, DHE, DESede, ECDH, ECDSA, SSLv3, RC4, MD5withRSA, DH keySize < 768, EC keySize < 224
- Modifiez la ligne comme suit :
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 768, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_RC4_128_MD5, TLS_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA256
- Redémarrez le service NSM.
Modifications finales :
L le canal de la sonde Packet-log apparaît désormais comme étant inactif. Pour ce faire :
- Ouvrez l’interface utilisateur graphique NSM.
- Désactivez le chiffrement du canal de journalisation des paquets.
- Accédez à /App/config/.
- Lecture ems.properties dans un éditeur de votre choix.
- Ajoutez la ligne :
iv.core.ism.ssl.allowNullEncryption=true
- Enregistrez vos modifications.
- Redémarrez le service NSM.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
|