Dell Unity: Nessus Full Safe Vulnerability Security Scan TLS -version 1.0 protokollan tunnistus (käyttäjän korjattavissa)

Aiemmin seurattu artikkeli 000022527 
Dell Unity: TLS 1.0:n ja 1.1:n poistaminen käytöstä Unity-levyjärjestelmässä (käyttäjän korjattavissa).  Haavoittuvuusskanneri (Nessus) havaitsi kuitenkin TLS-haavoittuvuuden portissa 5085.
Havaitut haavoittuvuudet:https://www.tenable.com/plugins/nessus/104743
Laajennus:

104743 Laajennuksen nimi: TLS-version 1.0 protokollan tunnistusportti
: 5085-laajennuksen
tulos: TLSv1 on käytössä ja palvelin tukee vähintään yhtä salausta.
Synopsis: Etäpalvelu salaa liikenteen TLS:n vanhemmalla versiolla.
Ratkaisu: Ota käyttöön TLS 1.2- ja 1.3-tuki ja poista TLS 1.0 -tuki käytöstä.

Komento uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2 poistaa käytöstä vain portin 443.
Jos haluat poistaa portin 5085 käytöstä, käytä svc_nas komennossa vaihtoehtoa "-param".

Poista TLS 1.0 ja 1.1 (portti 5085) käytöstä seuraavien ohjeiden mukaisesti:
1. Tarkista nykyiset asetukset.

svc_nas ALL -param -facility ssl -info protocol -v

2. Muuta arvoksi "4" = TLSv1.2 ja uudemmat".

svc_nas ALL -param -facility ssl -modify protocol -value 4

3. Varmista, että current_value on muutettu versioon "4" =TLSv1.2 tai uudempaan.

svc_nas ALL -param -facility ssl -info protocol -v

4. Käynnistä tallennussuorittimet uudelleen yksi kerrallaan.
UI(Unisphere):
SYSTEM >>>>>>Service Service Tasks >>> (tallennussuoritin X) Valitse Reboot ja Execute.

Komentoriviliittymä:

svc_shutdown --reboot [spa | spb] 

5. Varmista, että current_value on muutettu muotoon "4"=TLSv1.2 tai uudempi.

Example of changing from TLSv1.0 to TLSv1.2 (Port 5085):

1. Check the current settings.
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

name                    = protocol
facility_name           = ssl
default_value           = 2   <<<
current_value           = 2   <<<
configured_value        =     <<<
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

2. Change the value to "4" = TLSv1.2 and above".
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -modify protocol -value 4

SPA : done

Warning 17716815750: SPA : You must reboot the SP for protocol changes to take effect.
SPB : done
 
Warning 17716815750: SPB : You must reboot the SP for protocol changes to take effect.

3. Confirm that the configured_value has been changed to "4"=TLSv1.2 and above.
XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

SPA :
name                    = protocol
facility_name           = ssl
default_value           = 2
current_value           = 2　　<<<<　current_value is changed after restart
configured_value        = 4　　<<<<
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

4. Reboot Storage Processor (both SPs alternately).

5. Confirm that the current_value has been changed to "4"=TLSv1.2 and above.

XXXXX spa:~/user# svc_nas ALL -param -facility ssl -info protocol -v

SPA :
name                    = protocol
facility_name           = ssl
default_value           = 2
current_value           = 4　　<<<< 
configured_value        = 4
param_type              = global
user_action             = reboot SP
change_effective        = reboot SP
range                   = (0,4)
description             = Set the supported SSL/TLS protocols. Possible values are: 0=all SSL/TLS protocols are allowed, 1=SSLv3 and above, 2=TLSv1.0 and above, 3=TLSv1.1 and above, 4=TLSv1.2 and above

Poista TLS 1.0 ja 1.1 (portti 443) käytöstä. 
Ote artikkelista 000022527.
●Unity OE 5.1 ja uudemmat järjestelmät käyttävät alla olevaa komentoa:Näytä nykyiset asetukset komennolla:
 

uemcli -u admin -password <Your Password> /sys/security show

Poista TLS 1.0 ja 1.1 käytöstä asettamalla -tlsMode TLSv1.2:

uemcli -u admin -password <Your Password> /sys/security set -tlsMode TLSv1.2

Esimerkki siirtymisestä TLSv1.0:sta TLSv1.2:een (portti 443):

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS mode              = TLSv1.0 and above
      Restricted shell mode = enabled

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.

XXXXX spa:~/user# uemcli -u admin -p Password123# /sys/security show
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS mode              = TLSv1.2 and above　　<<<
      Restricted shell mode = enabled

Jos levyjärjestelmän käyttöjärjestelmä on OE 4.3–5.0, poista TLS 1.0 (portti 443) käytöstä seuraavalla komennolla:Näytä nykyiset asetukset komennolla:
 

uemcli -u admin -password <Your Password> /sys/security show -detail

Poista TLS 1.0 käytöstä komennolla: 

uemcli -u admin -password <Your Password> /sys/security set -tls1Enabled no

Ota TLS 1.2 käyttöön komennolla 

uemcli -u admin -password <Your Password> /sys/security -tlsMode TLSv1.2

Esimerkki siirtymisestä TLSv1.0:sta TLSv1.2:een (portti 443): 

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS 1.0 mode          = enabled
      TLS mode              = TLSv1.0 and above
      Restricted shell mode = enabled

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security set -tlsMode TLSv1.2
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

Please refer to the Security Configuration Guide for backward compatibility.
This change may impact running operations (e.g. replication) and the management services will be automatically restarted for the change to take effect.
Do you want to continue?
yes / no: yes
Operation completed successfully.

XXXXX spa:~/user# uemcli -u admin -password Password123# /sys/security show -detail
Storage system address: 127.0.0.1
Storage system port: 443
HTTPS connection

1:    FIPS 140 mode         = disabled
      TLS 1.0 mode          = disabled               <<<
      TLS mode              = TLSv1.2 and above　　 <<<
      Restricted shell mode = enabled

Huomautus:
Seuraava virhekoodi: 0x1000302" saattaa näkyä heti asetusten muuttamisen jälkeen.
Jos tapahtuu virhe, yritä suorittaa komento uudelleen noin 5 minuutin kuluttua.

Operation failed. Error code: 0x1000302
Remote server is not available. Please contact server support (Error Code:0x1000302)