Dell Unity: Detekce protokolu TLS verze 1.0 – zcela bezpečná bezpečnostní kontrola Nessus (oprava uživatelem)
Summary: Tento článek vysvětluje, jak zakázat protokol TLS 1.0 a 1.1 na portech 443 a 5085.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Dříve sledovaný článek 000022527
Dell Unity: Jak zakázat protokoly TLS 1.0 a 1.1 v poli Unity (oprava uživatelem). Skener chyby zabezpečení (Nessus) však zjistil chybu zabezpečení TLS na portu 5085.
Zjištěné chyby zabezpečení: https://www.tenable.com/plugins/nessus/104743
Plugin:
104743 Název pluginu: Port pro detekci
protokolu TLS verze 1.0: Výstup modulu plug-in 5085
: Protokol TLSv1 je povolen a server podporuje alespoň jednu šifru.
Synopse: Vzdálená služba šifruje provoz pomocí starší verze protokolu TLS.
Řešení: Povolte podporu protokolu TLS 1.2 a 1.3 a zakažte podporu protokolu TLS 1.0.
Dell Unity: Jak zakázat protokoly TLS 1.0 a 1.1 v poli Unity (oprava uživatelem). Skener chyby zabezpečení (Nessus) však zjistil chybu zabezpečení TLS na portu 5085.
Zjištěné chyby zabezpečení: https://www.tenable.com/plugins/nessus/104743
Plugin:
104743 Název pluginu: Port pro detekci
protokolu TLS verze 1.0: Výstup modulu plug-in 5085
: Protokol TLSv1 je povolen a server podporuje alespoň jednu šifru.
Synopse: Vzdálená služba šifruje provoz pomocí starší verze protokolu TLS.
Řešení: Povolte podporu protokolu TLS 1.2 a 1.3 a zakažte podporu protokolu TLS 1.0.
Cause
Příkaz "uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2" zakáže pouze port 443.
Pokud chcete zakázat port 5085, musíte použít Option "-param" v příkazu svc_nas.
Pokud chcete zakázat port 5085, musíte použít Option "-param" v příkazu svc_nas.
Resolution
Zakažte protokoly TLS 1.0 a 1.1 (port 5085) pomocí následujících kroků:
1. Zkontrolujte aktuální nastavení.
svc_nas ALL -param -facility ssl -info protocol -v
2. Změňte hodnotu na "4" = TLSv1.2 a vyšší.
svc_nas ALL -param -facility ssl -modify protocol -value 4
3. Ověřte, zda byl current_value změněn na "4" = TLSv1.2 a vyšší.
svc_nas ALL -param -facility ssl -info protocol -v
4. Postupně restartujte procesory úložiště.
UI(Unisphere):
SYSTEM >>>Service>>> Service Tasks >>> (Storage Processor X) Vyberte možnost Reboot a klikněte na tlačítko Execute.
Rozhraní příkazového řádku:
svc_shutdown --reboot [spa | spb]
5. Ujistěte se, že current_value byla změněna na "4" = TLSv1.2 a vyšší.
Example of changing from TLSv1.0 to TLSv1.2 (Port 5085): 1. Check the current settings. XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v name = protocol facility_name = ssl default_value = 2 <<< current_value = 2 <<< configured_value = <<< param_type = global user_action = reboot SP change_effective = reboot SP range = (0,4) description = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above 2. Change the value to "4" = TLSv1.2 and above". XXXXX spa:~/user# svc_nas ALL -param -facility ssl -modify protocol -value 4 SPA : done Warning 17716815750: SPA : You must reboot the SP for protocol changes to take effect. SPB : done Warning 17716815750: SPB : You must reboot the SP for protocol changes to take effect. 3. Confirm that the configured_value has been changed to "4"=TLSv1.2 and above. XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v SPA : name = protocol facility_name = ssl default_value = 2 current_value = 2 <<<< current_value is changed after restart configured_value = 4 <<<< param_type = global user_action = reboot SP change_effective = reboot SP range = (0,4) description = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above 4. Reboot Storage Processor (both SPs alternately). 5. Confirm that the current_value has been changed to "4"=TLSv1.2 and above. XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v SPA : name = protocol facility_name = ssl default_value = 2 current_value = 4 <<<< configured_value = 4 param_type = global user_action = reboot SP change_effective = reboot SP range = (0,4) description = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and aboveZakažte protokol TLS 1.0 a 1.1 (port 443).
Výňatek z článku 000022527.
●Pole Unity OE 5.1 a novější pomocí následujícího příkazu:Zobrazte aktuální nastavení pomocí příkazu:
uemcli -u admin -password <Your Password> /sys/security showZakažte protokol TLS 1.0 a 1.1 nastavením -tlsMode TLSv1.2:
uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2
Příklad změny z TLSv1.0 na TLSv1.2 (Port443):
XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS mode = TLSv1.0 and above
Restricted shell mode = enabled
XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.
XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS mode = TLSv1.2 and above <<<
Restricted shell mode = enabled
V případě, že pole využívá prostředí OE 4.3 až 5.0, zakažte protokol TLS 1.0 (port 443) pomocí následujícího příkazu: Zobrazte aktuální nastavení pomocí příkazu:
uemcli -u admin -password <Your Password> /sys/security show -detailZakažte protokol TLS 1.0 pomocí příkazu:
uemcli -u admin -password <Your Password> /sys/security set -tls1Enabled noPovolte protokol TLS 1.2 pomocí příkazu:
uemcli -u admin -password <Your Password> /sys/security -tlsMode TLSv1.2
Příklad změny z TLSv1.0 na TLSv1.2 (port 443):
XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS 1.0 mode = enabled
TLS mode = TLSv1.0 and above
Restricted shell mode = enabled
XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.
XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS 1.0 mode = disabled <<<
TLS mode = TLSv1.2 and above <<<
Restricted shell mode = enabled Poznámka:
Následující "Kód chyby: 0x1000302" se může objevit ihned po změně nastavení.
Pokud dojde k chybě, zkuste příkaz spustit znovu přibližně po 5 minutách.
Operation failed. Error code: 0x1000302 Remote server is not available. Please contact server support (Error Code:0x1000302)
Affected Products
Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All FlashArticle Properties
Article Number: 000221891
Article Type: Solution
Last Modified: 20 Feb 2024
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.