Urządzenia PowerProtect serii DP i urządzenie Integration Data Protection Appliance: Skanowanie luk w zabezpieczeniach wykryło "TLS SSL Weak MACs Cipher Suites" podczas wyszukiwania

概要: Artykuł zawiera obejście problemu "TLS/SSL Weak Message Authentication Code Cipher Suites for Ports 442, 443, and 445" detected on Search for Integration Data Protection Appliance version 2.7.2, 2.7.3 i 2.7.4. ...

この記事は次に適用されます：この記事は次には適用されません：

手順

W przypadku wykrycia następującej luki w zabezpieczeniach na urządzeniu Integration Data Protection Appliance w wersjach 2.7.2, 2.7.3 i 2.7.4 na składniku Search, portach 442, 443 i 445 (patrz tabela).

Tytuł luki w zabezpieczeniach	Składniki	Port usługi	Protokół serwisowy	Poziom ważności luki w zabezpieczeniach	Opis luki w zabezpieczeniach	Zabezpieczenie przed luką w zabezpieczeniach
Pakiety cipher suite kodu uwierzytelniania SSL TLS o słabych komunikatach	Wyszukiwanie DP	442	TCP	4	Transport Layer Security w wersji 1.2 i wcześniejszych zawiera obsługę pakietów szyfrowania, które wykorzystują kryptograficznie słabe kody uwierzytelniania komunikatów oparte na skrótach (HMDC), takie jak MD5 lub SHA1.	Negocjowane z następującymi niezabezpieczonymi pakietami szyfrowania: * Szyfry TLS 1.2: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Pakiety cipher suite kodu uwierzytelniania SSL TLS o słabych komunikatach	Wyszukiwanie DP	443	TCP	4	Transport Layer Security w wersji 1.2 i wcześniejszych zawiera obsługę pakietów szyfrowania, które wykorzystują kryptograficznie słabe kody uwierzytelniania komunikatów oparte na skrótach (HMDC), takie jak MD5 lub SHA1.	Negocjowane z następującymi niezabezpieczonymi pakietami szyfrowania: * Szyfry TLS 1.2: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Pakiety cipher suite kodu uwierzytelniania SSL TLS o słabych komunikatach	Wyszukiwanie DP	445	TCP	4	Transport Layer Security w wersji 1.2 i wcześniejszych zawiera obsługę pakietów szyfrowania, które wykorzystują kryptograficznie słabe kody uwierzytelniania komunikatów oparte na skrótach (HMDC), takie jak MD5 lub SHA1.	Negocjowane z następującymi niezabezpieczonymi pakietami szyfrowania: * Szyfry TLS 1.2: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Wykonaj następujące czynności, aby rozwiązać ten problem:

Otwórz sesję PuTTY w węźle sterowania indeksem wyszukiwania i zaloguj się jako użytkownik root.
Zmień katalog roboczy na "/etc/nginx", używając następującego polecenia:

cd /etc/nginx

Upewnij się, że w katalogu istnieją pliki "nginx.cis.conf" i "nginx.search.conf":

Search:/etc/nginx #ls -la
total 96
drwxr-xr-x  2 root root 4096 Jun  5 11:42 .
drwxr-xr-x 92 root root 4096 Jul 18 11:51 ..
-rw-r--r--  1 root root 1077 Apr 19 14:48 fastcgi.conf
-rw-r--r--  1 root root 1077 Apr 19 14:48 fastcgi.conf.default
-rw-r--r--  1 root root 1007 Apr 19 14:48 fastcgi_params
-rw-r--r--  1 root root 1007 Apr 19 14:48 fastcgi_params.default
-rw-r--r--  1 root root 2837 Apr 19 14:48 koi-utf
-rw-r--r--  1 root root 2223 Apr 19 14:48 koi-win
-rw-r--r--  1 root root 5349 Apr 19 14:48 mime.types
-rw-r--r--  1 root root 5349 Apr 19 14:48 mime.types.default
-rw-r--r--  1 root root 1021 Jun  5 11:42 nginx.avamar-action.conf
-rw-r--r--  1 root root 3086 Jun  5 11:39 nginx.cis.conf
-rw-r--r--  1 root root  548 Jun  5 11:42 nginx.conf
-rw-r--r--  1 root root 2656 Apr 19 14:48 nginx.conf.default
-rw-r--r--  1 root root  548 Jun  5 11:42 nginx.conf.tmp
-rw-r--r--  1 root root 1027 Jun  5 11:42 nginx.networker-action.conf
-rw-r--r--  1 root root 2513 Jun  5 11:42 nginx.search.conf
-rw-r--r--  1 root root  636 Apr 19 14:48 scgi_params
-rw-r--r--  1 root root  636 Apr 19 14:48 scgi_params.default
-rw-r--r--  1 root root  664 Apr 19 14:48 uwsgi_params
-rw-r--r--  1 root root  664 Apr 19 14:48 uwsgi_params.default
-rw-r--r--  1 root root 3610 Apr 19 14:48 win-utf
Search:/etc/nginx #

Utwórz kopię bieżących plików "nginx.cis.conf" i "nginx.search.conf":

cp nginx.cis.conf nginx.cis.conf.default
cp nginx.search.conf nginx.search.conf.default

Zaktualizuj ssl_ciphers plików "nginx.cis.conf" i "nginx.search.conf":

From:
ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';

To:
ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 !SHA1 !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';

W pliku "nginx.cis.conf" znajdują się dwa wpisy, jak pokazano poniżej:

Rysunek 1. Zrzut ekranu pliku nginx.cis.conf

W pliku "nginx.search.conf" znajduje się jeden wpis, jak pokazano poniżej:

Rysunek 2. Zrzut ekranu pliku nginx.search.conf

UWAGA: Każdy wiersz zaczyna się od "#" jest uważany za komentarz i nie będzie obowiązywać.

Uruchom ponownie serwer wyszukiwania.

systemctl reboot

Z listy szyfrów należy usunąć TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA i TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA.

Wynik skanowania powinien być podobny do następującego:

Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445 localhost -Pn
Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 15:11 GMT-10
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000036s latency).
Other addresses for localhost (not scanned): ::1

PORT    STATE SERVICE  VERSION
442/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
443/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
445/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 13.60 seconds
Search:~ #

その他の情報

Skanowanie luki w zabezpieczeniach wykrywa także "TLS SSL Weak Message Authentication Code Cipher Suites" dla portu 30002 on Search.

Tytuł luki w zabezpieczeniach	Składniki	Port usługi	Protokół serwisowy	Poziom ważności luki w zabezpieczeniach	Opis luki w zabezpieczeniach	Zabezpieczenie przed luką w zabezpieczeniach
Pakiety cipher suite kodu uwierzytelniania SSL TLS o słabych komunikatach	Wyszukiwanie DP	30002	TCP	4	Transport Layer Security w wersji 1.2 i wcześniejszych zawiera obsługę pakietów szyfrowania, które wykorzystują kryptograficznie słabe kody uwierzytelniania komunikatów oparte na skrótach (HMDC), takie jak MD5 lub SHA1.	Negocjowane z następującymi niezabezpieczonymi pakietami szyfrowania: * Szyfry TLS 1.2: * TLS_RSA_WITH_AES_256_CBC_SHA

Planowane są aktualizacje szyfrów dla portu 30002 po aktualizacji Avamar w nadchodzącej głównej wersji oprogramowania Integration Data Protection Appliance.

Przed wdrożeniem obejścia problemu wyniki skanowania w portach 442, 443, 445 i 30002 będą podobne do poniższych:

Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445,30002 localhost -Pn
Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 14:27 GMT-10
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000041s latency).
Other addresses for localhost (not scanned): ::1

PORT      STATE  SERVICE        VERSION
442/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
443/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
445/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
30002/tcp open  ssl/pago-services2?
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 3072) - A
|     compressors:
|       NULL
|     cipher preference: client
|_  least strength: A


Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.44 seconds
Search:~ #

対象製品

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DD6400, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...

文書番号: 000216308

文書の種類: How To

最終更新: 26 10月 2023

バージョン: 5

お使いのデバイスがサポートサービスの対象かどうかを確認してください。

Urządzenia PowerProtect serii DP i urządzenie Integration Data Protection Appliance: Skanowanie luk w zabezpieczeniach wykryło "TLS SSL Weak MACs Cipher Suites" podczas wyszukiwania

概要: Artykuł zawiera obejście problemu "TLS/SSL Weak Message Authentication Code Cipher Suites for Ports 442, 443, and 445" detected on Search for Integration Data Protection Appliance version 2.7.2, 2.7.3 i 2.7.4. ...

手順

その他の情報

対象製品

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポートサービス

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポートサービス

ようこそ

Dellへようこそ

Urządzenia PowerProtect serii DP i urządzenie Integration Data Protection Appliance: Skanowanie luk w zabezpieczeniach wykryło "TLS SSL Weak MACs Cipher Suites" podczas wyszukiwania

概要: Artykuł zawiera obejście problemu "TLS/SSL Weak Message Authentication Code Cipher Suites for Ports 442, 443, and 445" detected on Search for Integration Data Protection Appliance version 2.7.2, 2.7.3 i 2.7.4. ... 表示を増やす 表示を減らす

詳細記事

手順

追加情報

対象製品

手順

その他の情報

対象製品

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポート サービス

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポート サービス

概要: Artykuł zawiera obejście problemu "TLS/SSL Weak Message Authentication Code Cipher Suites for Ports 442, 443, and 445" detected on Search for Integration Data Protection Appliance version 2.7.2, 2.7.3 i 2.7.4. ...

サポートサービス

サポートサービス