Dell Unity : Nessus Full Safe Vulnerability Security Scan TLS version 1.0 Détection de protocole (corrigible par l’utilisateur)

Article précédemment suivi 000022527 
Dell Unity : Désactivation de TLS 1.0 et 1.1 sur la baie Unity (corrigible par l’utilisateur).  Toutefois, l’analyseur de vulnérabilités (Nessus) a détecté une vulnérabilité TLS sur le port 5085.
Vulnérabilités détectées :
https://www.tenable.com/plugins/nessus/104743
Plugin :
104743 Nom du plugin : Port de détection
de protocole TLS version 1.0 : 5085
Plugin Output : TLSv1 est activé et le serveur prend en charge au moins un chiffrement.
Synopsis: Le service distant chiffre le trafic à l’aide d’une version antérieure de TLS.
Solution: Activez la prise en charge de TLS 1.2 et 1.3 et désactivez la prise en charge de TLS 1.0.

La commande « uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2 » désactive uniquement le port 443.
Si vous souhaitez désactiver le port 5085, vous devez utiliser l’option « -param » dans la commande svc_nas.

Désactivez TLS 1.0 et 1.1 (port 5085) en suivant les étapes ci-dessous :
1. Vérifiez les paramètres actuels.

svc_nas ALL -param -facility ssl -info protocol -v

2. Remplacez la valeur par « 4 » = TLSv1.2 et versions ultérieures.

svc_nas ALL -param -facility ssl -modify protocol -value 4

3. Vérifiez que le current_value a été remplacé par « 4 » = TLSv1.2 et versions ultérieures.

svc_nas ALL -param -facility ssl -info protocol -v

4. Redémarrez les processeurs de stockage un par un.
UI (Unisphere) :
SYSTEM >>>Service>>>Tâches >>> de maintenance (processeur de stockage X) Sélectionnez Redémarrer, puis cliquez sur Exécuter.

CLI :

svc_shutdown --reboot [spa | spb] 

5. Vérifiez que le current_value a été remplacé par « 4 »=TLSv1.2 et versions ultérieures.

Example of changing from TLSv1.0 to TLSv1.2 (Port 5085):

1. Check the current settings.
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

name                    = protocol
facility_name           = ssl
default_value           = 2   <<<
current_value           = 2   <<<
configured_value        =     <<<
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

2. Change the value to "4" = TLSv1.2 and above".
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -modify protocol -value 4

SPA : done

Warning 17716815750: SPA : You must reboot the SP for protocol changes to take effect.
SPB : done
 
Warning 17716815750: SPB : You must reboot the SP for protocol changes to take effect.

3. Confirm that the configured_value has been changed to "4"=TLSv1.2 and above.
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

SPA :
name                    = protocol
facility_name           = ssl
default_value           = 2
current_value           = 2　　<<<<　current_value is changed after restart
configured_value        = 4　　<<<<
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

4. Reboot Storage Processor (both SPs alternately).

5. Confirm that the current_value has been changed to "4"=TLSv1.2 and above.

XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

SPA :
name                    = protocol
facility_name           = ssl
default_value           = 2
current_value           = 4　　<<<< 
configured_value        = 4
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

Désactivez TLS 1.0 et 1.1 (port 443). 
Extrait de l’article 000022527.
●Baies Unity OE 5.1 et supérieures à l’aide de la commande ci-dessous :Affichez les paramètres actuels avec la commande :
 

uemcli -u admin -password <Your Password> /sys/security show

Désactivez TLS 1.0 et 1.1 en définissant -tlsMode TLSv1.2 :

uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2

Exemple de passage de TLSv1.0 à TLSv1.2 (Port443) :

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS mode              = TLSv1.0 and above
      Restricted shell mode = enabled

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS mode              = TLSv1.2 and above　　<<<
      Restricted shell mode = enabled

Si la baie exécute OE 4.3 à 5.0, désactivez TLS 1.0 (port 443) à l’aide de la commande ci-dessous :Affichez les paramètres actuels avec la commande :
 

uemcli -u admin -password <Your Password> /sys/security show -detail

Désactivez TLS 1.0 à l’aide de la commande : 

uemcli -u admin -password <Your Password> /sys/security set -tls1Enabled no

Activez TLS 1.2 à l’aide de la commande : 

uemcli -u admin -password <Your Password> /sys/security -tlsMode TLSv1.2

Exemple de passage de TLSv1.0 à TLSv1.2 (port 443) : 

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS 1.0 mode          = enabled
      TLS mode              = TLSv1.0 and above
      Restricted shell mode = enabled

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS 1.0 mode          = disabled               <<<
      TLS mode              = TLSv1.2 and above　　 <<<
      Restricted shell mode = enabled

Remarque :Le message suivant « Code d’erreur :
0x1000302 » peut s’afficher immédiatement après la modification des paramètres.
Si une erreur se produit, réessayez d’exécuter la commande après environ 5 minutes.

Operation failed. Error code: 0x1000302
Remote server is not available. Please contact server support (Error Code:0x1000302)