PowerProtect DP Series 어플라이언스 및 통합 데이터 보호 어플라이언스: 검색 시 "TLS SSL 약한 MACs 암호화 제품군"을 감지한 보안 취약성 검사

概要: 이 문서에서는 통합 데이터 보호 어플라이언스 검색 버전 2.7.2, 2.7.3 및 2.7.4에서 감지된 "TLS/SSL 약한 메시지 인증 코드 Cipher Suite for Ports 442, 443 및 445"에 대한 해결 방법을 제공합니다.

この記事は次に適用されます：この記事は次には適用されません：この記事は、特定の製品に関連付けられていません。すべての製品パージョンがこの記事に記載されているわけではありません。

手順

통합 데이터 보호 어플라이언스 버전 2.7.2, 2.7.3 및 2.7.4에서 검색 구성 요소, 포트 442, 443 및 445에서 다음 취약점이 감지되면(표 참조).

취약성 제목	구성 요소	서비스 포트	서비스 프로토콜	취약성 심각도 수준	취약성 설명	취약성 증명
TLS SSL 약한 메시지 인증 코드 암호화 제품군	DP 검색	442	TCP	4	전송 계층 보안 버전 1.2 이하에는 MD5 또는 SHA1과 같이 암호화적으로 취약한 HMAC(Hash 기반 메시지 인증 코드)를 사용하는 암호화 제품군에 대한 지원이 포함됩니다.	다음과 같은 안전하지 않은 암호화 제품군과 협상했습니다. * TLS 1.2 암호: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS SSL 약한 메시지 인증 코드 암호화 제품군	DP 검색	443	TCP	4	전송 계층 보안 버전 1.2 이하에는 MD5 또는 SHA1과 같이 암호화적으로 취약한 HMAC(Hash 기반 메시지 인증 코드)를 사용하는 암호화 제품군에 대한 지원이 포함됩니다.	다음과 같은 안전하지 않은 암호화 제품군과 협상했습니다. * TLS 1.2 암호: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS SSL 약한 메시지 인증 코드 암호화 제품군	DP 검색	445	TCP	4	전송 계층 보안 버전 1.2 이하에는 MD5 또는 SHA1과 같이 암호화적으로 취약한 HMAC(Hash 기반 메시지 인증 코드)를 사용하는 암호화 제품군에 대한 지원이 포함됩니다.	다음과 같은 안전하지 않은 암호화 제품군과 협상했습니다. * TLS 1.2 암호: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

다음 단계에 따라 문제를 완화합니다.

검색 인덱스 제어 노드에 PuTTY 세션을 열고 'root' 사용자로 로그인합니다.
다음 명령을 사용하여 작업 디렉토리를 "/etc/nginx"로 변경합니다.

cd /etc/nginx

"nginx.cis.conf" 및 "nginx.search.conf" 파일이 디렉토리에 있는지 확인합니다.

Search:/etc/nginx #ls -la
total 96
drwxr-xr-x  2 root root 4096 Jun  5 11:42 .
drwxr-xr-x 92 root root 4096 Jul 18 11:51 ..
-rw-r--r--  1 root root 1077 Apr 19 14:48 fastcgi.conf
-rw-r--r--  1 root root 1077 Apr 19 14:48 fastcgi.conf.default
-rw-r--r--  1 root root 1007 Apr 19 14:48 fastcgi_params
-rw-r--r--  1 root root 1007 Apr 19 14:48 fastcgi_params.default
-rw-r--r--  1 root root 2837 Apr 19 14:48 koi-utf
-rw-r--r--  1 root root 2223 Apr 19 14:48 koi-win
-rw-r--r--  1 root root 5349 Apr 19 14:48 mime.types
-rw-r--r--  1 root root 5349 Apr 19 14:48 mime.types.default
-rw-r--r--  1 root root 1021 Jun  5 11:42 nginx.avamar-action.conf
-rw-r--r--  1 root root 3086 Jun  5 11:39 nginx.cis.conf
-rw-r--r--  1 root root  548 Jun  5 11:42 nginx.conf
-rw-r--r--  1 root root 2656 Apr 19 14:48 nginx.conf.default
-rw-r--r--  1 root root  548 Jun  5 11:42 nginx.conf.tmp
-rw-r--r--  1 root root 1027 Jun  5 11:42 nginx.networker-action.conf
-rw-r--r--  1 root root 2513 Jun  5 11:42 nginx.search.conf
-rw-r--r--  1 root root  636 Apr 19 14:48 scgi_params
-rw-r--r--  1 root root  636 Apr 19 14:48 scgi_params.default
-rw-r--r--  1 root root  664 Apr 19 14:48 uwsgi_params
-rw-r--r--  1 root root  664 Apr 19 14:48 uwsgi_params.default
-rw-r--r--  1 root root 3610 Apr 19 14:48 win-utf
Search:/etc/nginx #

현재 "nginx.cis.conf" 및 "nginx.search.conf" 파일을 복사합니다.

cp nginx.cis.conf nginx.cis.conf.default
cp nginx.search.conf nginx.search.conf.default

"nginx.cis.conf" 및 "nginx.search.conf" 파일에서 ssl_ciphers 업데이트합니다.

From:
ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';

To:
ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 !SHA1 !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';

아래와 같이 "nginx.cis.conf"에는 두 가지 항목이 있습니다.

그림 1: nginx.cis.conf 파일 스크린샷

아래와 같이 "nginx.search.conf"에는 하나의 항목이 있습니다.

그림 2: nginx.search.conf 파일 스크린샷

참고: "#"로 시작하는 모든 줄은 주석으로 간주되며 적용되지 않습니다.

검색 서버를 재부팅합니다.

systemctl reboot

암호 목록에서 "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 및 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA"를 제거해야 합니다.

스캔 결과는 다음과 유사해야 합니다.

Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445 localhost -Pn
Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 15:11 GMT-10
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000036s latency).
Other addresses for localhost (not scanned): ::1

PORT    STATE SERVICE  VERSION
442/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
443/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
445/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 13.60 seconds
Search:~ #

その他の情報

보안 취약성 검사에서는 검색 시 포트 30002에 대한 "TLS SSL 약한 메시지 인증 코드 암호화 제품군"도 감지합니다.

취약성 제목	구성 요소	서비스 포트	서비스 프로토콜	취약성 심각도 수준	취약성 설명	취약성 증명
TLS SSL 약한 메시지 인증 코드 암호화 제품군	DP 검색	30002	TCP	4	전송 계층 보안 버전 1.2 이하에는 MD5 또는 SHA1과 같이 암호화적으로 취약한 HMAC(Hash 기반 메시지 인증 코드)를 사용하는 암호화 제품군에 대한 지원이 포함됩니다.	다음과 같은 안전하지 않은 암호화 제품군과 협상했습니다. * TLS 1.2 암호: * TLS_RSA_WITH_AES_256_CBC_SHA

포트 30002의 암호는 Avamar가 예정된 Integration Data Protection Appliance 주요 릴리스에서 업데이트된 후에 업데이트될 예정입니다.

이 해결 방법을 구현하기 전에 포트 442, 443, 445 및 30002 스캔 결과는 다음과 유사합니다.

Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445,30002 localhost -Pn
Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 14:27 GMT-10
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000041s latency).
Other addresses for localhost (not scanned): ::1

PORT      STATE  SERVICE        VERSION
442/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
443/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
445/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
30002/tcp open  ssl/pago-services2?
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 3072) - A
|     compressors:
|       NULL
|     cipher preference: client
|_  least strength: A


Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.44 seconds
Search:~ #

対象製品

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DD6400, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...

文書番号: 000216308

文書の種類: How To

最終更新: 26 10月 2023

バージョン: 5

お使いのデバイスがサポートサービスの対象かどうかを確認してください。

PowerProtect DP Series 어플라이언스 및 통합 데이터 보호 어플라이언스: 검색 시 "TLS SSL 약한 MACs 암호화 제품군"을 감지한 보안 취약성 검사

概要: 이 문서에서는 통합 데이터 보호 어플라이언스 검색 버전 2.7.2, 2.7.3 및 2.7.4에서 감지된 "TLS/SSL 약한 메시지 인증 코드 Cipher Suite for Ports 442, 443 및 445"에 대한 해결 방법을 제공합니다.

手順

その他の情報

対象製品

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポートサービス

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポートサービス

ようこそ

Dellへようこそ

PowerProtect DP Series 어플라이언스 및 통합 데이터 보호 어플라이언스: 검색 시 "TLS SSL 약한 MACs 암호화 제품군"을 감지한 보안 취약성 검사

概要: 이 문서에서는 통합 데이터 보호 어플라이언스 검색 버전 2.7.2, 2.7.3 및 2.7.4에서 감지된 "TLS/SSL 약한 메시지 인증 코드 Cipher Suite for Ports 442, 443 및 445"에 대한 해결 방법을 제공합니다.

詳細記事

手順

追加情報

対象製品

手順

その他の情報

対象製品

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポート サービス

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポート サービス

サポートサービス

サポートサービス