Dell Unity: Nessus Full Safe Vulnerability Security Scan Wykrywanie protokołu TLS w wersji 1.0 (możliwość naprawienia przez użytkownika)

Poprzednio obserwowany artykuł 000022527 
Dell Unity: Wyłączanie protokołu TLS 1.0 i 1.1 w macierzy Unity (możliwość naprawienia przez użytkownika).  Jednak skaner luk w zabezpieczeniach (Nessus) wykrył lukę w zabezpieczeniach TLS na porcie 5085.
Wykryte luki:https://www.tenable.com/plugins/nessus/104743
Plugin:

104743 Nazwa wtyczki: Port wykrywania
protokołu TLS w wersji 1.0: Dane wyjściowe wtyczki 5085
: Protokół TLSv1 jest włączony, a serwer obsługuje co najmniej jeden szyfr.
Streszczenie: Usługa zdalna szyfruje ruch przy użyciu starszej wersji protokołu TLS.
Rozwiązanie: Włącz obsługę protokołów TLS 1.2 i 1.3 oraz wyłącz obsługę protokołu TLS 1.0.

Polecenie "uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2" wyłącza tylko port 443.
Jeśli wymagane jest wyłączenie portu 5085, należy użyć opcji "-param" w poleceniu svc_nas.

Wyłącz protokół TLS 1.0 i 1.1 (port 5085), wykonując poniższe czynności:
1. Sprawdź bieżące ustawienia.

svc_nas ALL -param -facility ssl -info protocol -v

2. Zmień wartość na "4" = TLSv1.2 i nowsze".

svc_nas ALL -param -facility ssl -modify protocol -value 4

3. Upewnij się, że current_value został zmieniony na "4" =TLSv1.2 lub więcej.

svc_nas ALL -param -facility ssl -info protocol -v

4. Uruchamiaj ponownie procesory pamięci masowej pojedynczo.
UI (Unisphere):
zadania >>> usługi SYSTEM >>>>>>(procesor pamięci masowej X) Wybierz opcję Uruchom ponownie i kliknij przycisk Wykonaj.

Interfejs CLI:

svc_shutdown --reboot [spa | spb] 

5. Upewnij się, że current_value został zmieniony na "4"=TLSv1.2 i nowsze.

Example of changing from TLSv1.0 to TLSv1.2 (Port 5085):

1. Check the current settings.
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

name                    = protocol
facility_name           = ssl
default_value           = 2   <<<
current_value           = 2   <<<
configured_value        =     <<<
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

2. Change the value to "4" = TLSv1.2 and above".
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -modify protocol -value 4

SPA : done

Warning 17716815750: SPA : You must reboot the SP for protocol changes to take effect.
SPB : done
 
Warning 17716815750: SPB : You must reboot the SP for protocol changes to take effect.

3. Confirm that the configured_value has been changed to "4"=TLSv1.2 and above.
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

SPA :
name                    = protocol
facility_name           = ssl
default_value           = 2
current_value           = 2　　<<<<　current_value is changed after restart
configured_value        = 4　　<<<<
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

4. Reboot Storage Processor (both SPs alternately).

5. Confirm that the current_value has been changed to "4"=TLSv1.2 and above.

XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

SPA :
name                    = protocol
facility_name           = ssl
default_value           = 2
current_value           = 4　　<<<< 
configured_value        = 4
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

Wyłącz protokół TLS 1.0 i 1.1 (port 443). 
Fragment artykułu 000022527.
●Macierze Unity OE 5.1 i nowsze przy użyciu poniższego polecenia:Pokaż bieżące ustawienia za pomocą polecenia:
 

uemcli -u admin -password <Your Password> /sys/security show

Wyłącz protokoły TLS 1.0 i 1.1, ustawiając -tlsMode TLSv1.2:

uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2

Przykład zmiany z TLSv1.0 na TLSv1.2(Port443):

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS mode              = TLSv1.0 and above
      Restricted shell mode = enabled

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS mode              = TLSv1.2 and above　　<<<
      Restricted shell mode = enabled

Jeśli macierz działa w wersji od 4.3 do 5.0, wyłącz protokół TLS 1.0 (port 443) za pomocą poniższego polecenia:Pokaż bieżące ustawienia za pomocą polecenia:
 

uemcli -u admin -password <Your Password> /sys/security show -detail

Wyłącz protokół TLS 1.0 przy użyciu polecenia: 

uemcli -u admin -password <Your Password> /sys/security set -tls1Enabled no

Włącz protokół TLS 1.2 przy użyciu polecenia: 

uemcli -u admin -password <Your Password> /sys/security -tlsMode TLSv1.2

Przykład zmiany z TLSv1.0 na TLSv1.2 (port 443): 

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS 1.0 mode          = enabled
      TLS mode              = TLSv1.0 and above
      Restricted shell mode = enabled

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS 1.0 mode          = disabled               <<<
      TLS mode              = TLSv1.2 and above　　 <<<
      Restricted shell mode = enabled

Notatka:Następujący "Kod błędu:
0x1000302" może pojawić się natychmiast po zmianie ustawień.
Jeśli wystąpi błąd, spróbuj ponownie wykonać polecenie po około 5 minutach.

Operation failed. Error code: 0x1000302
Remote server is not available. Please contact server support (Error Code:0x1000302)