Dell Unity: Nessus Full Safe beveiligingsscan voor beveiligingslekken TLS versie 1.0 protocoldetectie (op te lossen door gebruiker)

Eerder gevolgd artikel 000022527 
Dell Unity: TLS 1.0 en 1.1 uitschakelen op Unity Array (op te lossen door gebruiker).  De kwetsbaarheidsscanner (Nessus) detecteerde echter een TLS-kwetsbaarheid op poort 5085.
Gedetecteerde kwetsbaarheden:https://www.tenable.com/plugins/nessus/104743
Plugin:

104743 Plugin name: TLS versie 1.0 protocoldetectiepoort
: 5085
plug-in-uitgang: TLSv1 is ingeschakeld en de server ondersteunt ten minste één codering.
Synopsis: De externe service versleutelt verkeer met behulp van een oudere versie van TLS.
Oplossing: Ondersteuning voor TLS 1.2 en 1.3 inschakelen en ondersteuning voor TLS 1.0 uitschakelen.

De opdracht "uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2" schakelt alleen poort 443 uit.
Als u poort 5085 wilt uitschakelen, moet u de optie "-param" gebruiken in de opdracht svc_nas.

Schakel TLS 1.0 en 1.1 (poort 5085) uit met behulp van de onderstaande stappen:
1. Controleer de huidige instellingen.

svc_nas ALL -param -facility ssl -info protocol -v

2. Wijzig de waarde in "4" = TLSv1.2 en hoger".

svc_nas ALL -param -facility ssl -modify protocol -value 4

3. Controleer of de current_value is gewijzigd in "4" =TLSv1.2 en hoger.

svc_nas ALL -param -facility ssl -info protocol -v

4. Start de storageprocessors één voor één opnieuw op.
UI (Unisphere):
SYSTEEM >>>>>>Serviceservicetaken >>> (storageprocessor X) Selecteer Reboot en klik op Execute.

CLI:

svc_shutdown --reboot [spa | spb] 

5. Controleer of de current_value is gewijzigd in "4"=TLSv1.2 en hoger.

Example of changing from TLSv1.0 to TLSv1.2 (Port 5085):

1. Check the current settings.
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

name                    = protocol
facility_name           = ssl
default_value           = 2   <<<
current_value           = 2   <<<
configured_value        =     <<<
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

2. Change the value to "4" = TLSv1.2 and above".
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -modify protocol -value 4

SPA : done

Warning 17716815750: SPA : You must reboot the SP for protocol changes to take effect.
SPB : done
 
Warning 17716815750: SPB : You must reboot the SP for protocol changes to take effect.

3. Confirm that the configured_value has been changed to "4"=TLSv1.2 and above.
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

SPA :
name                    = protocol
facility_name           = ssl
default_value           = 2
current_value           = 2　　<<<<　current_value is changed after restart
configured_value        = 4　　<<<<
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

4. Reboot Storage Processor (both SPs alternately).

5. Confirm that the current_value has been changed to "4"=TLSv1.2 and above.

XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

SPA :
name                    = protocol
facility_name           = ssl
default_value           = 2
current_value           = 4　　<<<< 
configured_value        = 4
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

Schakel TLS 1.0 en 1.1 uit (poort 443). 
Uittreksel uit artikel 000022527.
● Unity OE 5.1 en latere arrays bij gebruik van de onderstaande opdracht:Toon de huidige instellingen met de opdracht:
 

uemcli -u admin -password <Your Password> /sys/security show

Schakel TLS 1.0 en 1.1 uit door -tlsMode TLSv1.2 in te stellen:

uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2

Voorbeeld van het wijzigen van TLSv1.0 naar TLSv1.2 (Port443):

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS mode              = TLSv1.0 and above
      Restricted shell mode = enabled

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS mode              = TLSv1.2 and above　　<<<
      Restricted shell mode = enabled

In het geval dat de array OE 4.3 tot 5.0 uitvoert, schakelt u TLS 1.0 (poort 443) uit met behulp van de onderstaande opdracht: Toon de huidige instellingen met de opdracht:
 

uemcli -u admin -password <Your Password> /sys/security show -detail

Schakel TLS 1.0 uit met de opdracht: 

uemcli -u admin -password <Your Password> /sys/security set -tls1Enabled no

Schakel TLS 1.2 in met de opdracht: 

uemcli -u admin -password <Your Password> /sys/security -tlsMode TLSv1.2

Voorbeeld van het wijzigen van TLSv1.0 naar TLSv1.2 (poort 443): 

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS 1.0 mode          = enabled
      TLS mode              = TLSv1.0 and above
      Restricted shell mode = enabled

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS 1.0 mode          = disabled               <<<
      TLS mode              = TLSv1.2 and above　　 <<<
      Restricted shell mode = enabled

Opmerking: de volgende "Foutcode:
0x1000302" kan direct na het wijzigen van de instellingen verschijnen.
Als er een fout optreedt, probeer dan na ongeveer 5 minuten de opdracht opnieuw uit te voeren.

Operation failed. Error code: 0x1000302
Remote server is not available. Please contact server support (Error Code:0x1000302)