Chyby zabezpečení hlášené na portech NetWorker 5432, 5671, 9000, 9001
Shrnutí: Skenování Rapid7 identifikovalo chyby zabezpečení na různých portech NetWorker.
Příznaky
Chyby zabezpečení jsou hlášeny na portech 5671, 9000, 9001.
Port 5671
Server TLS/SSL používající běžně používaná prvočísla
Server TLS podporuje protokol TLS verze 1.1
. X.509 CN předmětu certifikátu neodpovídá názvu entity.
Nedůvěryhodný certifikát
X.509 serveru TLS/SSL Neplatný port certifikátu
TLS/SSL9000
X.509 Předmět CN neodpovídá názvu entity.
Nedůvěryhodný server TLS/SSL Server TLS/SSL s certifikátem
X.509 používá běžně používaná prvočísla.
HTTP OPTIONS Metoda povolena
Server TLS/SSL podporuje použití statických šifer klíčů.
Port 9001
X.509 CN předmětu certifikátu neodpovídá názvu entity.
Nedůvěryhodný server TLS/SSL Server TLS/SSL s certifikátem
X.509 nepodporuje žádné silné šifrovací algoritmy.
Server TLS/SSL podporuje použití statických šifer klíčů.
Příčina
Řešení
Port 5432
* Nedůvěryhodný certifikát
X.509 serveru TLS/SSL* Certifikát
TLS/SSL podepsaný držitelem Řešení:
1. Navštivte adresu
C:\Program Files\EMC NetWorker\Management\nmcdb\pgdata\ (Okna); /nsr/nmc/nmcdb/pgdata/ (Linux)
2. Přejmenovat
server.crt a server.key.
3. Zkopírujte server podepsaný certifikační autoritou a soukromý klíč jako
"server.crt" a "server.key" do stejné složky.
nsrnmc: nsrnmc a mají 600 oprávnění.
chown nsrnmc:nsrnmc /nsr/nmc/nmcdb/pgdata/server.crt
chown nsrnmc:nsrnmc /nsr/nmc/nmcdb/pgdata/server.key
chmod 600 /nsr/nmc/nmcdb/pgdata/server.crt
chmod 600 /nsr/nmc/nmcdb/pgdata/server.key
postgresql.conf.
ssl_cert_file = 'server.crt' ssl_key_file = 'server.key'
gst služby:
Linux:
systemctl restart gst
net stop gstd
net start gstd
Port 5671
Řešení:
openssl. Aktualizujte cestu rabbitmq.config se souborem DH.
Linux:
/opt/nsr/rabbitmq-server-3.11.16/etc/rabbitmq/rabbitmq.config
openssl dhparam -out /opt/nsr/rabbitmq-server-3.11.16/etc/dhparam.pem 2048
Windows:
C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.7.16\etc\rabbitmq.config.
openssl.exe dhparam -out "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem" 2048
2048 označuje velikost prvočísla v bitech.
2. Konfigurace
rabbitmq.config pro zajištění souboru přidáním konfigurační položky:
Linux:
{dhfile, "/opt/nsr/rabbitmq-server-3.11.16/etc/rabbitmq/dhparam.pem"},
Windows:
{dhfile, "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem"},
V rámci ssl_options hned po "keyfile" řádek.
Příklad:
Hledat
"ssl_options" a přidejte dhfile Nastavení, jak je uvedeno níže:
{ssl_options, [{cacertfile, "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\cacert.pem"},
{certfile, "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\cert.pem"},
{keyfile, "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\key.pem"},
{dhfile, "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem"},
{verify, verify_none},
rabbitmq.config. Look Pro následující řádek:
% disable TLS 1.0, remove tlsv1.1 if it is not needed
{versions, ['tlsv1.2', 'tlsv1.1']},
* CN subjektu certifikátu X.509 neodpovídá názvu entity.
* Nedůvěryhodný certifikát
X.509 serveru TLS/SSL* Neplatný certifikát TLS/SSL
Řešení:
C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-<some number>\etc (Windows). V Linuxu je cesta /opt/nsr/rabbitmq-server-<n.nn.nn>/etc/rabbitmq
2. Přejmenujte stávající
.pem Certifikáty.
3. Zkopírujte certifikáty podepsané certifikační autoritou pod stejným názvem jako originál.
Kde:
cacert.pem = je balíček certifikátů certifikační autority.
cert.pem = je veřejný/serverový certifikát.
key.pem = je soukromý klíč.
4. Ověřte, zda se cesta a názvy správně zobrazují v
rabbitmq.config.
Windows:
{ssl_options, [{cacertfile, "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\cacert.pem"},
{certfile, "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\cert.pem"},
{keyfile, "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\key.pem"},
Linux:
{ssl_options, [{cacertfile, "/etc/rabbitmq/cacert.pem"},
{certfile, "/etc/rabbitmq/cert.pem"},
{keyfile, "/etc/rabbitmq/key.pem"},
5. Spusťte službu NetWorker a GST.
Port 9000
* CN subjektu certifikátu X.509 neodpovídá názvu entity.
* Nedůvěryhodný certifikát
TLS/SSL serveru X.509 Řešení:
1) Přejmenovat "server.crt" a "server.key." V systému Windows jsou soubory v C:\Program Files\EMC NetWorker\Management\GST\apache\conf. V systému Linux jsou soubory umístěny v adresáři /opt/lgtonmc/apache/conf.
2) Zkopírujte certifikát serveru podepsaný certifikační autoritou a soukromý klíč do stejné složky. Přejmenujte certifikát serveru podepsaný certifikační autoritou na "server.crt" a klíč serveru k "server.key."
3) Ověřte, že cesta a název jsou konzistentní v C:\Program Files\EMC NetWorker\Management\GST\apache\conf\httpd.conf a C:\Program Files\EMC NetWorker\Management\GST\apache\conf\https.conf. V systému Linux httpd.conf se nachází pod položkou /opt/lgtonmc/apache/conf.
Řádky, které je třeba zkontrolovat, jsou následující: Windows
:
SSLCertificatefile "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
SSLCertificateKeyfile "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"
Linux:
SSLCertificatefile /opt/lgtonmc/apache/conf/server.crt
SSLCertificateKeyfile /opt/lgtonmc/apache/conf/server.key
4) Na Linuxu by povolení mušek mělo být 600 a vlastněno nsrnmc.
-rw------- 1 nsrnmc nsrnmc 1679 May 17 16:26 server.key
-rw------- 1 nsrnmc nsrnmc 1216 May 17 16:26 server.crt
* Server TLS/SSL používá běžně používaná prvočísla
.Řešení:
1) Vygenerujte parametry DH pomocí openssl.
Windows:
openssl.exe dhparam -out "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\apachedhparam.pem" 2048
Linux:
openssl dhparam -out "/opt/lgtonmc/apache/conf/apachedhparam.pem" 2048
2) Přidat "SSLOpenSSLConfCmd DHParameters <location of dhparam.pem>" In httpd.conf
Windows:
SSLOpenSSLConfCmd DHParameters "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\apachedhparam.pem"
Linux:
<VirtualHost *:9000>
Servername localhost:9000
...
...
SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!SSLv3:!TLSv1.0:!TLSv1.1:!ADH:!MEDIUM:!LOW:@STRENGTH
SSLOpenSSLConfCmd DHParameters /opt/lgtonmc/apache/conf/apachedhparam.pem
</VirtualHost>
* Metoda HTTP OPTIONS povolena
Tato chyba zabezpečení se netýká konzole NMC. mod_rewrite modul není načten konzolí NMC.
* Server TLS/SSL podporuje použití statických šifer klíčů.
Zakomentování originálu SSLCipherSuite In httpd.conf. Nahraďte jej níže uvedeným.
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!3DES:!MD5:!PSK:!RC4
Port 9001
*X.509 CN předmětu certifikátu neodpovídá názvu entity.
*Nedůvěryhodný certifikát
X.509 serveru TLS/SSL Poskytujeme podporu pro nahrazení certifikátu používaného portem 9001.
V systému Windows:
To generate cakey.pem from CA signed certificate: Get the CA signed certificates in individual key files, or in a single file in PFX format. If the CA signed certificates are in a single PFX file, extract the private key, and the CA signed certificate with OpenSSL tool. NOTE:Windows may not have OpenSSL installed. You can install OpenSSL separately. Extract the private key, and the CA signed certificate from the PFX file. Private key: # openssl pkcs12 -in <file>.pfx -out server.key -nodes -nocerts CA certificate: # openssl pkcs12 -in <file>.pfx -out server.crt -nokeys Verify the integrity of the server.key and server.crt. Private key: # openssl pkey -in server.key -pubout -outform pem | sha256sum CA certificate: # openssl x509 -in server.crt -pubkey -noout -outform pem | sha256sum NOTE:Ensure that the output shows the same checksum hash from the above two outputs. If the checksum hashes are same, perform the next step. If they are different, there is an issue. Convert the private key and the CA certificate to PEM format. Private key: # openssl rsa -in server.key -outform pem -out server.key.pem CA certificate: # openssl x509 -in server.crt -outform pem -out server.crt.pem Combine the key and the certificate into cakey.pem file for NMC. Windows (PowerShell): PS > get-content server.key.pem,server.crt.pem | out-file cakey.pem Shut down the NMC server. Windows: net stop gstd Copy the cakey.pem to the NMC servers installation location: Windows: [Install Drive]:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem Start the NMC server. Windows: net start gstd
V systému Linux:
Get all the required certificates(root, intermediate, and server) from pem file format. For example: server.key, RootCA.crt, InterCA.crt, and server.crt. Convert the private key and the certificates(root, intermediate, and server) to PEM format. Private key: # openssl rsa -in server.key -outform pem -out server.key.pem Certificates: # openssl x509 -in server.crt -outform pem -out server.crt.pem # openssl x509 -in RootCA.crt -outform pem -out RootCA.crt.pem # openssl x509 -in InterCA.crt -outform pem -out InterCA.crt.pem After the Chain is ready, concatenate all certificates in one file with command: > cat server.key.pem RootCA.crt.pem InterCA.crt.pem server.crt.pem > cakey.pem NOTE:Order of the certificates in concatenation is important. server.key should always be the first certificate, and server.pem should always be the last certificate in this file. Change the owner and group of file to nsrnmc. Stop NetWorker services. systemctl stop networker systemctl stop gst Move to directory /opt/lgtonmc/etc/, rename the existing cakey.pem, and copy the cakey.pem file which has your CA certificate chain. Start the NetWorker services. systemctl start networker systemctl start gst All the services should come up gracefully.
* Server TLS/SSL nepodporuje žádné silné šifrovací algoritmy
. Podpora silných šifer je zavedena v nástroji NetWorker 19.5 a novějším vydání. Aktualizujte dotčené servery na verzi NetWorker 19.5.x.
* Server TLS/SSL podporuje použití statických šifer klíčů.
Tento problém zatím není na platformě Windows vyřešen. To je vyřešeno v opravě chyb.