Dell Unity: Nessus Full Safe Vulnerability Security Scan TLS Version 1.0 Protokollerkennung (vom Benutzer korrigierbar)

Zuvor befolgter Artikel 000022527 
Dell Unity: Deaktivieren von TLS 1.0 und 1.1 auf Unity-Array (von NutzerInnen korrigierbar).  Der Vulnerability Scanner (Nessus) hat jedoch eine TLS-Schwachstelle auf Port 5085 erkannt.
Erkannte Sicherheitslücken:https://www.tenable.com/plugins/nessus/104743
Plugin:

104743 Name des Plug-ins: TLS-Version 1.0 Protokollerkennungsanschluss
: 5085
Plug-in-Ausgabe: TLSv1 ist aktiviert und der Server unterstützt mindestens eine Verschlüsselung.
Synopsis: Der Remotedienst verschlüsselt den Datenverkehr mit einer älteren Version von TLS.
Lösung: Aktivieren Sie die Unterstützung für TLS 1.2 und 1.3 und deaktivieren Sie die Unterstützung für TLS 1.0.

Mit dem Befehl "uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2" wird nur Port 443 deaktiviert.
Wenn Port 5085 deaktiviert werden soll, müssen Sie die Option "-param" im svc_nas Befehl verwenden.

Deaktivieren Sie TLS 1.0 und 1.1 (Port 5085) mithilfe der folgenden Schritte:
1. Überprüfen Sie die aktuellen Einstellungen.

svc_nas ALL -param -facility ssl -info protocol -v

2. Ändern Sie den Wert in "4" = TLSv1.2 und höher".

svc_nas ALL -param -facility ssl -modify protocol -value 4

3. Vergewissern Sie sich, dass der current_value in "4" = TLSv1.2 und höher geändert wurde.

svc_nas ALL -param -facility ssl -info protocol -v

4. Starten Sie die Storage-Prozessoren nacheinander neu.
UI (Unisphere):
SYSTEM-Serviceaufgaben >>>>>>>>>(Storage-Prozessor X) Wählen Sie Neustart aus und klicken Sie auf Ausführen.

CLI:

svc_shutdown --reboot [spa | spb] 

5. Vergewissern Sie sich, dass der current_value in "4" = TLSv1.2 und höher geändert wurde.

Example of changing from TLSv1.0 to TLSv1.2 (Port 5085):

1. Check the current settings.
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

name                    = protocol
facility_name           = ssl
default_value           = 2   <<<
current_value           = 2   <<<
configured_value        =     <<<
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

2. Change the value to "4" = TLSv1.2 and above".
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -modify protocol -value 4

SPA : done

Warning 17716815750: SPA : You must reboot the SP for protocol changes to take effect.
SPB : done
 
Warning 17716815750: SPB : You must reboot the SP for protocol changes to take effect.

3. Confirm that the configured_value has been changed to "4"=TLSv1.2 and above.
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

SPA :
name                    = protocol
facility_name           = ssl
default_value           = 2
current_value           = 2　　<<<<　current_value is changed after restart
configured_value        = 4　　<<<<
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

4. Reboot Storage Processor (both SPs alternately).

5. Confirm that the current_value has been changed to "4"=TLSv1.2 and above.

XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

SPA :
name                    = protocol
facility_name           = ssl
default_value           = 2
current_value           = 4　　<<<< 
configured_value        = 4
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

Deaktivieren Sie TLS 1.0 und 1.1 (Port 443). 
Auszug aus Artikel 000022527.
●Unity OE 5.1 und neuere Arrays können mit dem folgenden Befehl ausgeführt werden:Zeigen Sie die aktuellen Einstellungen mit dem folgenden Befehl an:
 

uemcli -u admin -password <Your Password> /sys/security show

Deaktivieren Sie TLS 1.0 und 1.1, indem Sie -tlsMode TLSv1.2 festlegen:

uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2

Beispiel für den Wechsel von TLSv1.0 zu TLSv1.2 (Port443):

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS mode              = TLSv1.0 and above
      Restricted shell mode = enabled

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS mode              = TLSv1.2 and above　　<<<
      Restricted shell mode = enabled

Falls auf dem Array OE 4.3 bis 5.0 ausgeführt wird, deaktivieren Sie TLS 1.0 (Port 443) mithilfe des folgenden Befehls:Zeigen Sie die aktuellen Einstellungen mit dem folgenden Befehl an:
 

uemcli -u admin -password <Your Password> /sys/security show -detail

Deaktivieren Sie TLS 1.0 mit dem Befehl: 

uemcli -u admin -password <Your Password> /sys/security set -tls1Enabled no

Aktivieren Sie TLS 1.2 mit dem Befehl: 

uemcli -u admin -password <Your Password> /sys/security -tlsMode TLSv1.2

Beispiel für den Wechsel von TLSv1.0 zu TLSv1.2 (Port 443): 

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS 1.0 mode          = enabled
      TLS mode              = TLSv1.0 and above
      Restricted shell mode = enabled

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS 1.0 mode          = disabled               <<<
      TLS mode              = TLSv1.2 and above　　 <<<
      Restricted shell mode = enabled

Hinweis:
Der folgende "Fehlercode: 0x1000302" wird möglicherweise unmittelbar nach dem Ändern der Einstellungen angezeigt.
Wenn ein Fehler auftritt, versuchen Sie, den Befehl nach ca. 5 Minuten erneut auszuführen.

Operation failed. Error code: 0x1000302
Remote server is not available. Please contact server support (Error Code:0x1000302)