Come attivare TLS 1.2 Suite di crittografia sulla piattaforma di sicurezza di rete
Articoli tecnici ID:
KB94638
Ultima modifica: 23/09/2021
Ambiente
McAfee Network Security Manager
McAfee Network Security Sensor Appliance
Problema
Build di NSM precedenti che utilizzano TLS 1.0/1.1 i cifrari potrebbero diventare vulnerabili agli attacchi exploit.
Per risolvere questo problema, McAfee consiglia vivamente di effettuare l'upgrade alla versione più recente di NSP 10.1 versioni software per utilizzare una cifratura solida suite in NSM per Sensor le comunicazioni.
Tuttavia, un upgrade potrebbe non essere un'opzione.
NSM come software di gestione supporta modelli di sensori eterogenei che eseguono diverse versioni del software del sensore.
Si potrebbero avere sensori M-Series, che supportano TLSv1.0 distribuito. In alternativa, è possibile che siano in esecuzione sensori VM e NS-Series, su un software con sensore obsoleto che supporta solo TLS 1.0/1.1.
È necessario mantenere l'infrastruttura esistente, ma limitare la comunicazione NSP a TLS 1.2.
NSM 10.1 M4 consente di limitare le proprie operazioni a TLS 1.2 protocollo, a condizione che i sensori allegati per supportare anche TLS 1.2.
Se non è possibile effettuare immediatamente l'upgrade dell'installazione all'ultima versione di NSP 10.1 software, utilizzare la seguente soluzione per attivare TLS 1.2 sul server NSM.
Soluzione
IMPORTANTE:
- Leggere l'intera soluzione e tenere presente che è necessario riavviare NSM e aggiornare il software Sensor
- È necessario eseguire tutti i passaggi seguenti
- Dopo TLS 1.2 è attivato su NSM, è non Aggiunta di sensori con versioni precedenti del software che non supportano TLS 1.2 crittografie
- Quando si configura NSM in modo che utilizzi esclusivamente TLS1.2, La comunicazione Sensor-to-Manager si interrompe per le versioni precedenti del software Sensor.
È necessario effettuare l'upgrade del Sensor a una versione software che supporta solo TLS 1.2 crittografie
Per una guida alle versioni minime necessarie, consultare la tabella riportata nella sezione: Configurazione di NSM-Sensor Communication per utilizzare solo TLS 1.2 sotto
Attiva browser client per NSM la comunicazione utilizzando TLS 1.2
- Aggiorna il tuo Manager 10.1.7.35 o versioni successive.
- Accedere a: /App/apache-tomcat/conf/.
- Prendere una copia del Server.xml file e collocarlo in un luogo sicuro.
- Aprire Server.xml in un editor di vostra scelta.
- Passare alla sezione.
- Scorri verso il basso fino a:
sslEnabledProtocols="TLSv1.2"
- Rimuovi i seguenti cifrari:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,
La sezione modificata assomiglia a:
sslEnabledProtocols = "TLSv1.2"
Cipher = "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256"
maxPostSize = "10485760"
URIEncoding = "UTF-8"/>
- Salvare le modifiche.
Configurazione di NSM-Sensor Communication per utilizzare solo TLS 1.2:
- Passare a /App/config/.
- Prendere una copia di EMS. Properties e collocarla in una directory sicura.
- Aprire ems.properties in un editor di vostra scelta.
- Scorri fino alla fine del ems.properties.
- Inserire la riga:
iv.core.ism.ssl.allowOnlyTLSv1.2=true
- Salvare le modifiche e riavviare il servizio NSM.
- Effettuare l'upgrade del software Sensor a una versione che supporta solo la TLS configurata 1.2 Crittografie
(TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256)
IMPORTANTE La comunicazione Sensor a Manager è stata interrotta a meno che non si aggiorni il Sensor a una versione software che supporta solo TLS 1.2 crittografie.
Effettuare l'upgrade dei sensori alla seguente versione minima o successiva, se possibile:
Versione Sensor |
Modello |
Non-FIPS |
FIPS |
FIPS + CC |
9.1 |
Serie NS |
9.1.5.102 - 9.1 M7 |
9.1.17.18 - 9.1M7 |
9.1.17.121 - 9.1M7 |
Serie M |
9.1.3.18 - 9.1 M7 |
-- |
-- |
VM |
9.1.7.27 - 9.1 M7 |
-- |
-- |
9.2 |
Serie NS |
9.2.5.190 – 9.2 M6 |
-- |
|
Serie M |
-- |
-- |
-- |
VM |
9.2.7.65 - 9.2 M6 |
-- |
-- |
10.1 |
Serie NS |
10.1.5.92 – 10.1 M5 |
-- |
-- |
VM |
10.1.7.65 – 10.1 M5 |
10.1.17.26 – 10.1 M5 |
10.1.17.26 – 10.1 M5 |
Configurare il server NSM in modo che le scansioni delle vulnerabilità non vengano elencate come utilizzando suite di crittografia più deboli e vecchie:
- Passare a /App/jre/lib/security/.
- Eseguire un backup del java.security file e collocarlo in un luogo sicuro.
- Aprire java.security in un editor di file.
- Scorrere fino alla riga seguente:
- NSM 9.1:
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 768
- NSM 9.2:
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 768
- NSM 10.1:
jdk.tls.disabledAlgorithms=anon, NULL, DHE, DESede, ECDH, ECDSA, SSLv3, RC4, MD5withRSA, DH keySize < 768, EC keySize < 224
- Modificare la riga nel seguente modo:
jdk.tls.disabledAlgorithms=SSLv3, RC4, DH keySize < 768, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_RC4_128_MD5, TLS_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA256
- Riavviare il servizio NSM.
Modifiche finali:
T il canale packet-log del sensore ora viene visualizzato come in basso. Per renderlo attivo:
- Aprire la GUI di NSM.
- Disattivare la crittografia del canale del registro dei pacchetti.
- Passare a /App/config/.
- Aprire ems.properties in un editor di vostra scelta.
- Aggiungere la riga:
iv.core.ism.ssl.allowNullEncryption=true
- Salvare le modifiche.
- Riavviare il servizio NSM.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
|