Dell Unity:Nessus Full Safe Vulnerability Security Scan TLS バージョン 1.0 プロトコル検出 (ユーザー修正可能)
Summary: この記事では、ポート443およびポート5085でTLS 1.0および1.1を無効にする方法について説明します。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
以前にフォローしたDell Unity 000022527
記事: UnityアレイでTLS 1.0および1.1を無効にする方法(ユーザー修正可能)。 しかし、脆弱性スキャナー(Nessus)はポート5085でTLSの脆弱性を検出しました。
検出された脆弱性:
https://www.tenable.com/plugins/nessus/104743
プラグイン:
104743プラグイン名: TLSバージョン1.0プロトコル検出
ポート: 5085
プラグインの出力: TLSv1が有効で、サーバーが少なくとも1つの暗号をサポートしている。
概要:リモート サービスは、古いバージョンのTLSを使用してトラフィックを暗号化します。
ソリューション:TLS 1.2および1.3のサポートを有効にし、TLS 1.0のサポートを無効にします。
記事: UnityアレイでTLS 1.0および1.1を無効にする方法(ユーザー修正可能)。 しかし、脆弱性スキャナー(Nessus)はポート5085でTLSの脆弱性を検出しました。
検出された脆弱性:
https://www.tenable.com/plugins/nessus/104743
プラグイン:
104743プラグイン名: TLSバージョン1.0プロトコル検出
ポート: 5085
プラグインの出力: TLSv1が有効で、サーバーが少なくとも1つの暗号をサポートしている。
概要:リモート サービスは、古いバージョンのTLSを使用してトラフィックを暗号化します。
ソリューション:TLS 1.2および1.3のサポートを有効にし、TLS 1.0のサポートを無効にします。
Cause
コマンド「uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2」は、ポート443のみを無効にします。
ポート5085を無効にする場合は、svc_nasコマンドでオプション「-param」を使用する必要があります。
ポート5085を無効にする場合は、svc_nasコマンドでオプション「-param」を使用する必要があります。
Resolution
次の手順
を実行して、TLS 1.0および1.1(ポート5085)を無効にします。1.現在の設定を確認します。
svc_nas ALL -param -facility ssl -info protocol -v
2.値を「4」=TLSv1.2以降に変更します。
svc_nas ALL -param -facility ssl -modify protocol -value 4
3.current_valueが「4」=TLSv1.2以降に変更されていることを確認します。
svc_nas ALL -param -facility ssl -info protocol -v
4.ストレージ プロセッサーを一度に1つずつ再起動します。
UI(Unisphere):
システム >>>サービス>>> サービス タスク>>>(ストレージ プロセッサーX) 再起動を選択し、実行をクリックします。
CLI:
svc_shutdown --reboot [spa | spb]
5.current_valueが「4」=TLSv1.2以上に変更されていることを確認します。
Example of changing from TLSv1.0 to TLSv1.2 (Port 5085): 1. Check the current settings. XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v name = protocol facility_name = ssl default_value = 2 <<< current_value = 2 <<< configured_value = <<< param_type = global user_action = reboot SP change_effective = reboot SP range = (0,4) description = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above 2. Change the value to "4" = TLSv1.2 and above". XXXXX spa:~/user# svc_nas ALL -param -facility ssl -modify protocol -value 4 SPA : done Warning 17716815750: SPA : You must reboot the SP for protocol changes to take effect. SPB : done Warning 17716815750: SPB : You must reboot the SP for protocol changes to take effect. 3. Confirm that the configured_value has been changed to "4"=TLSv1.2 and above. XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v SPA : name = protocol facility_name = ssl default_value = 2 current_value = 2 <<<< current_value is changed after restart configured_value = 4 <<<< param_type = global user_action = reboot SP change_effective = reboot SP range = (0,4) description = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above 4. Reboot Storage Processor (both SPs alternately). 5. Confirm that the current_value has been changed to "4"=TLSv1.2 and above. XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v SPA : name = protocol facility_name = ssl default_value = 2 current_value = 4 <<<< configured_value = 4 param_type = global user_action = reboot SP change_effective = reboot SP range = (0,4) description = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and aboveTLS 1.0および1.1(ポート443)を無効にします。
記事000022527
より抜粋●Unity OE 5.1以降のアレイで次のコマンドを使用:
次のコマンドを使用して現在の設定を表示します。
uemcli -u admin -password <Your Password> /sys/security show-tlsMode TLSv1.2を設定して、TLS 1.0および1.1を無効にします。
uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2
TLSv1.0からTLSv1.2(ポート443)への変更例:
XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS mode = TLSv1.0 and above
Restricted shell mode = enabled
XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.
XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS mode = TLSv1.2 and above <<<
Restricted shell mode = enabled
アレイがOE 4.3から5.0を実行している場合は、次のコマンドを使用してTLS 1.0(ポート443)を無効にします。次のコマンドを使用して現在の設定を表示します。
uemcli -u admin -password <Your Password> /sys/security show -detail次のコマンドを使用してTLS 1.0を無効にします。
uemcli -u admin -password <Your Password> /sys/security set -tls1Enabled no次のコマンドを使用して、TLS 1.2を有効にします。
uemcli -u admin -password <Your Password> /sys/security -tlsMode TLSv1.2
TLSv1.0からTLSv1.2(ポート443)への変更の例:
XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS 1.0 mode = enabled
TLS mode = TLSv1.0 and above
Restricted shell mode = enabled
XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.
XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection
1: FIPS 140 mode = disabled
TLS 1.0 mode = disabled <<<
TLS mode = TLSv1.2 and above <<<
Restricted shell mode = enabled メモ:次の「エラーコード:
設定を変更するとすぐに0x1000302」が表示されることがあります。
エラーが発生した場合は、約5分後に再度コマンドを実行してみてください。
Operation failed. Error code: 0x1000302 Remote server is not available. Please contact server support (Error Code:0x1000302)
Affected Products
Dell EMC Unity, Dell EMC Unity Family |Dell EMC Unity All FlashArticle Properties
Article Number: 000221891
Article Type: Solution
Last Modified: 20 Feb 2024
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.