Dispositivos PowerProtect serie DP e integración Dispositivo de protección de datos: El escaneo de vulnerabilidades de seguridad detectó "suites de cifrado MAC débiles de TLS SSL" en la búsqueda
概要: En el artículo, se proporciona una solución alternativa para "Conjuntos de cifrado de código de autenticación de mensajes débiles TLS/SSL para los puertos 442, 443 y 445" detectados en la búsqueda de Integration Data Protection Appliance versión 2.7.2, 2.7.3 y 2.7.4. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
手順
Cuando se detecta la siguiente vulnerabilidad en las versiones 2.7.2, 2.7.3 y 2.7.4 de Integration Data Protection Appliance en el componente de búsqueda, los puertos 442, 443 y 445 (consulte la tabla).
Siga estos pasos para mitigar el problema:
Hay dos entradas en "nginx.cis.conf", como se muestra a continuación:
Figura 1: Captura de pantalla del archivo nginx.cis.conf
Hay una entrada en "nginx.search.conf", como se muestra a continuación:
Figura 2 Captura de pantalla del archivo nginx.search.conf
| Título de vulnerabilidad | Componentes | Puerto de servicio | Protocolo de servicio | Nivel de gravedad de vulnerabilidad |
Descripción de vulnerabilidad | Prueba de vulnerabilidades |
| Conjuntos de cifrado de código de autenticación de mensajes débiles TLS SSL | Búsqueda de DP | 442 | TCP | 4 | Transport Layer Security versión 1.2 y anteriores incluyen compatibilidad con conjuntos de cifrado que utilizan códigos de autenticación de mensajes basados en hash (HMAC) criptográficamente débiles, como MD5 o SHA1. | Negociado con los siguientes conjuntos de cifrado inseguros: * Cifrados tls 1.2: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
| Conjuntos de cifrado de código de autenticación de mensajes débiles TLS SSL | Búsqueda de DP | 443 | TCP | 4 | Transport Layer Security versión 1.2 y anteriores incluyen compatibilidad con conjuntos de cifrado que utilizan códigos de autenticación de mensajes basados en hash (HMAC) criptográficamente débiles, como MD5 o SHA1. | Negociado con los siguientes conjuntos de cifrado inseguros: * Cifrados tls 1.2: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
| Conjuntos de cifrado de código de autenticación de mensajes débiles TLS SSL | Búsqueda de DP | 445 | TCP | 4 | Transport Layer Security versión 1.2 y anteriores incluyen compatibilidad con conjuntos de cifrado que utilizan códigos de autenticación de mensajes basados en hash (HMAC) criptográficamente débiles, como MD5 o SHA1. | Negociado con los siguientes conjuntos de cifrado inseguros: * Cifrados tls 1.2: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
Siga estos pasos para mitigar el problema:
- Abra una sesión de PuTTY en el nodo de control del índice de búsqueda e inicie sesión como usuario "root".
- Cambie el directorio de trabajo a "/etc/nginx" mediante el siguiente comando:
cd /etc/nginx
- Confirme que los archivos "nginx.cis.conf" y "nginx.search.conf" existan en el directorio:
Search:/etc/nginx #ls -la total 96 drwxr-xr-x 2 root root 4096 Jun 5 11:42 . drwxr-xr-x 92 root root 4096 Jul 18 11:51 .. -rw-r--r-- 1 root root 1077 Apr 19 14:48 fastcgi.conf -rw-r--r-- 1 root root 1077 Apr 19 14:48 fastcgi.conf.default -rw-r--r-- 1 root root 1007 Apr 19 14:48 fastcgi_params -rw-r--r-- 1 root root 1007 Apr 19 14:48 fastcgi_params.default -rw-r--r-- 1 root root 2837 Apr 19 14:48 koi-utf -rw-r--r-- 1 root root 2223 Apr 19 14:48 koi-win -rw-r--r-- 1 root root 5349 Apr 19 14:48 mime.types -rw-r--r-- 1 root root 5349 Apr 19 14:48 mime.types.default -rw-r--r-- 1 root root 1021 Jun 5 11:42 nginx.avamar-action.conf -rw-r--r-- 1 root root 3086 Jun 5 11:39 nginx.cis.conf -rw-r--r-- 1 root root 548 Jun 5 11:42 nginx.conf -rw-r--r-- 1 root root 2656 Apr 19 14:48 nginx.conf.default -rw-r--r-- 1 root root 548 Jun 5 11:42 nginx.conf.tmp -rw-r--r-- 1 root root 1027 Jun 5 11:42 nginx.networker-action.conf -rw-r--r-- 1 root root 2513 Jun 5 11:42 nginx.search.conf -rw-r--r-- 1 root root 636 Apr 19 14:48 scgi_params -rw-r--r-- 1 root root 636 Apr 19 14:48 scgi_params.default -rw-r--r-- 1 root root 664 Apr 19 14:48 uwsgi_params -rw-r--r-- 1 root root 664 Apr 19 14:48 uwsgi_params.default -rw-r--r-- 1 root root 3610 Apr 19 14:48 win-utf Search:/etc/nginx #
- Haga una copia de los archivos actuales "nginx.cis.conf" y "nginx.search.conf":
cp nginx.cis.conf nginx.cis.conf.default cp nginx.search.conf nginx.search.conf.default
- Actualice el ssl_ciphers en los archivos "nginx.cis.conf" y "nginx.search.conf":
From: ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES'; To: ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 !SHA1 !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';
Hay dos entradas en "nginx.cis.conf", como se muestra a continuación:
Figura 1: Captura de pantalla del archivo nginx.cis.conf
Hay una entrada en "nginx.search.conf", como se muestra a continuación:
Figura 2 Captura de pantalla del archivo nginx.search.conf
NOTA: Cualquier línea que comience con "#" se considera un comentario y no surte efecto.
- Reinicie el servidor de búsqueda.
systemctl reboot
- El "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA y TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA" se debe eliminar de la lista de cifrado.
Un resultado de escaneo debe ser similar al siguiente:
Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445 localhost -Pn Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 15:11 GMT-10 Nmap scan report for localhost (127.0.0.1) Host is up (0.000036s latency). Other addresses for localhost (not scanned): ::1 PORT STATE SERVICE VERSION 442/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 443/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 445/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 13.60 seconds Search:~ #
その他の情報
El escaneo de vulnerabilidades de seguridad detecta también "conjuntos de cifrado de código de autenticación de mensajes débiles TLS SSL" para el puerto 30002 en la búsqueda.
Se planea que el cifrado se adapte al puerto 30002 después de que Avamar se actualice en la próxima versión principal de Integration Data Protection Appliance.
Antes de implementar la solución alternativa, el resultado del escaneo de los puertos 442, 443, 445 y 30002 sería similar al siguiente:
| Título de vulnerabilidad | Componentes | Puerto de servicio | Protocolo de servicio | Nivel de gravedad de vulnerabilidad |
Descripción de vulnerabilidad | Prueba de vulnerabilidades |
| Conjuntos de cifrado de código de autenticación de mensajes débiles TLS SSL | Búsqueda de DP | 30002 | TCP | 4 | Transport Layer Security versión 1.2 y anteriores incluyen compatibilidad con conjuntos de cifrado que utilizan códigos de autenticación de mensajes basados en hash (HMAC) criptográficamente débiles, como MD5 o SHA1. | Negociado con los siguientes conjuntos de cifrado inseguros: * Cifrados tls 1.2: * TLS_RSA_WITH_AES_256_CBC_SHA |
Se planea que el cifrado se adapte al puerto 30002 después de que Avamar se actualice en la próxima versión principal de Integration Data Protection Appliance.
Antes de implementar la solución alternativa, el resultado del escaneo de los puertos 442, 443, 445 y 30002 sería similar al siguiente:
Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445,30002 localhost -Pn Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 14:27 GMT-10 Nmap scan report for localhost (127.0.0.1) Host is up (0.000041s latency). Other addresses for localhost (not scanned): ::1 PORT STATE SERVICE VERSION 442/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 443/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 445/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 30002/tcp open ssl/pago-services2? | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 3072) - A | compressors: | NULL | cipher preference: client |_ least strength: A Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 12.44 seconds Search:~ #
対象製品
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software
, PowerProtect DD6400, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文書のプロパティ
文書番号: 000216308
文書の種類: How To
最終更新: 26 10月 2023
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。