Dell Unity: Nessus Full Safe Vulnerability Security Scan TLS 버전 1.0 프로토콜 감지(사용자 수정 가능)
Summary: 이 문서에서는 포트 443 및 포트 5085에서 TLS 1.0 및 1.1을 비활성화하는 방법에 대해 설명합니다.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Dell Unity000022527
다음 문서: Unity 어레이에서 TLS 1.0 및 1.1을 비활성화하는 방법(사용자 수정 가능) 그러나 취약성 스캐너(Nessus)가 포트 5085에서 TLS 취약성을 감지했습니다.
감지된 취약점:https://www.tenable.com/plugins/nessus/104743
플러그인:
104743 플러그인 이름: TLS 버전 1.0 프로토콜 탐지
포트: 5085
플러그인 출력 : TLSv1이 활성화되어 있고 서버에서 하나 이상의 암호를 지원합니다.
시놉시스: 원격 서비스는 이전 버전의 TLS를 사용하여 트래픽을 암호화합니다.
솔루션: TLS 1.2 및 1.3에 대한 지원을 활성화하고 TLS 1.0에 대한 지원을 비활성화합니다.
다음 문서: Unity 어레이에서 TLS 1.0 및 1.1을 비활성화하는 방법(사용자 수정 가능) 그러나 취약성 스캐너(Nessus)가 포트 5085에서 TLS 취약성을 감지했습니다.
감지된 취약점:https://www.tenable.com/plugins/nessus/104743
플러그인:
104743 플러그인 이름: TLS 버전 1.0 프로토콜 탐지
포트: 5085
플러그인 출력 : TLSv1이 활성화되어 있고 서버에서 하나 이상의 암호를 지원합니다.
시놉시스: 원격 서비스는 이전 버전의 TLS를 사용하여 트래픽을 암호화합니다.
솔루션: TLS 1.2 및 1.3에 대한 지원을 활성화하고 TLS 1.0에 대한 지원을 비활성화합니다.
Cause
"uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2" 명령은 포트 443만 비활성화합니다.
포트 5085를 비활성화하려면 svc_nas 명령에서 "-param" 옵션을 사용해야 합니다 .
포트 5085를 비활성화하려면 svc_nas 명령에서 "-param" 옵션을 사용해야 합니다 .
Resolution
아래 단계를
사용하여 TLS 1.0 및 1.1(포트 5085)을 비활성화합니다.1. 현재 설정을 확인합니다.
svc_nas ALL -param -facility ssl -info protocol -v
2. 값을 "4" = TLSv1.2 이상으로 변경합니다."
svc_nas ALL -param -facility ssl -modify protocol -value 4
3. current_value가 "4" =TLSv1.2 이상으로 변경되었는지 확인합니다.
svc_nas ALL -param -facility ssl -info protocol -v
4. 스토리지 프로세서를 한 번에 하나씩 재부팅합니다.
UI(Unisphere):
SYSTEM >>>ServiceService >>> Tasks >>> (Storage Processor X) Reboot를 선택하고 Execute를 클릭합니다.
CLI:
svc_shutdown --reboot [spa | spb]
5. current_value가 "4"=TLSv1.2 이상으로 변경되었는지 확인합니다.
Example of changing from TLSv1.0 to TLSv1.2 (Port 5085): 1. Check the current settings. XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v name = protocol facility_name = ssl default_value = 2 <<< current_value = 2 <<< configured_value = <<< param_type = global user_action = reboot SP change_effective = reboot SP range = (0,4) description = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above 2. Change the value to "4" = TLSv1.2 and above". XXXXX spa:~/user# svc_nas ALL -param -facility ssl -modify protocol -value 4 SPA : done Warning 17716815750: SPA : You must reboot the SP for protocol changes to take effect. SPB : done Warning 17716815750: SPB : You must reboot the SP for protocol changes to take effect. 3. Confirm that the configured_value has been changed to "4"=TLSv1.2 and above. XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v SPA : name = protocol facility_name = ssl default_value = 2 current_value = 2 <<<< current_value is changed after restart configured_value = 4 <<<< param_type = global user_action = reboot SP change_effective = reboot SP range = (0,4) description = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above 4. Reboot Storage Processor (both SPs alternately). 5. Confirm that the current_value has been changed to "4"=TLSv1.2 and above. XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v SPA : name = protocol facility_name = ssl default_value = 2 current_value = 4 <<<< configured_value = 4 param_type = global user_action = reboot SP change_effective = reboot SP range = (0,4) description = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and aboveTLS 1.0 및 1.1(포트 443)을 비활성화합니다.
기사 000022527에서 발췌.
●아래 명령을
사용하여 Unity OE 5.1 이상 어레이에서 다음을 사용하여 현재 설정을 표시합니다.
uemcli -u admin -password <Your Password> /sys/security showtlsMode TLSv1.2를 설정하여 TLS 1.0 및 1.1을 비활성화합니다.
uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2
TLSv1.0에서 TLSv1.2(Port443)로 변경하는 예:
XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS mode = TLSv1.0 and above
Restricted shell mode = enabled
XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.
XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS mode = TLSv1.2 and above <<<
Restricted shell mode = enabled
어레이에서 OE 4.3 - 5.0을 실행하는 경우 아래 명령을 사용하여 TLS 1.0(포트 443)을 비활성화합니다.
다음 명령으로 현재 설정을 표시합니다.
uemcli -u admin -password <Your Password> /sys/security show -detail다음 명령으로 TLS 1.0을 비활성화합니다.
uemcli -u admin -password <Your Password> /sys/security set -tls1Enabled no다음 명령으로 TLS 1.2를 활성화합니다.
uemcli -u admin -password <Your Password> /sys/security -tlsMode TLSv1.2
TLSv1.0에서 TLSv1.2(포트 443)로 변경하는 예:
XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS 1.0 mode = enabled
TLS mode = TLSv1.0 and above
Restricted shell mode = enabled
XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.
XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS 1.0 mode = disabled <<<
TLS mode = TLSv1.2 and above <<<
Restricted shell mode = enabled 참고:
다음 "오류 코드: 설정을 변경한 직후 0x1000302"가 나타날 수 있습니다.
오류가 발생하면 약 5분 후에 명령을 다시 실행해 보십시오.
Operation failed. Error code: 0x1000302 Remote server is not available. Please contact server support (Error Code:0x1000302)
Affected Products
Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All FlashArticle Properties
Article Number: 000221891
Article Type: Solution
Last Modified: 20 Feb 2024
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.