TLS를 사용하여 통신 암호화
조직의 기업 네트워크에서 취약점을 수정하려면 TLS 프로토콜을 사용하여 트래픽 암호화를 활성화할 수 있습니다. 중앙 관리 서버에서 TLS 암호화 프로토콜과 지원되는 암호 그룹을 활성화할 수 있습니다. Kaspersky Security Center Linux는 TLS 프로토콜 버전 1.0, 1.1, 1.2, 1.3을 지원합니다. 필요한 암호화 프로토콜과 암호 그룹을 선택할 수 있습니다.
Kaspersky Security Center Linux는 자체 서명 인증서를 사용합니다. 자체 인증서를 사용할 수도 있습니다. Kaspersky 전문가의 권장 사항에 따라 신뢰할 수 있는 인증 기관에서 발급한 인증서를 사용할 것을 권장합니다.
중앙 관리 서버에서 허용되는 암호화 프로토콜 및 암호 그룹을 구성하려면:
- 명령줄을 실행한 후 klscflag 유틸리티를 사용하여 현재 디렉터리를 해당 디렉터리로 변경합니다. klscflag 유틸리티는 중앙 관리 서버가 설치된 디렉터리에 있습니다. 기본 설치 경로는 /opt/kaspersky/ksc64/sbin입니다.
- SrvUseStrictSslSettings 플래그를 사용하여 중앙 관리 서버에서 허용되는 암호화 프로토콜 및 암호 그룹을 구성합니다. 루트 계정의 명령줄에서 다음 명령을 실행합니다.
klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <value> -t d
SrvUseStrictSslSettings 플래그의 <value> 파라미터를 지정합니다.
4
–TLS 1.2 및 TLS 1.3 프로토콜만 활성화됩니다. 또한 TLS_RSA_WITH_AES_256_GCM_SHA384가 포함된 암호 그룹이 활성화됩니다(이 암호 그룹은 Kaspersky Security Center 11과의 하위 호환성을 위해 필요합니다). 이는 기본값입니다.TLS 1.2 프로토콜에서 지원하는 암호 그룹:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-CHACHA20-POLY1305
- AES256-GCM-SHA384(TLS_RSA_WITH_AES_256_GCM_SHA384를 사용한 암호 그룹)
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
TLS 1.3 프로토콜에서 지원하는 암호 그룹:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
- TLS_AES_128_CCM_SHA256
5
–TLS 1.2 및 TLS 1.3 프로토콜만 활성화됩니다. TLS 1.2 및 TLS 1.3 프로토콜에서는 아래 나열된 특정 암호 그룹을 지원합니다.TLS 1.2 프로토콜에서 지원하는 암호 그룹:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-CHACHA20-POLY1305
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
TLS 1.3 프로토콜에서 지원하는 암호 그룹:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
- TLS_AES_128_CCM_SHA256
SrvUseStrictSslSettings 플래그의 파라미터 값으로 0, 1, 2, 3은 사용하지 않을 것을 권장합니다. 이러한 파라미터 값은 안전하지 않은 TLS 프로토콜 버전(TLS 1.0 및 TLS 1.1) 및 안전하지 않은 암호 그룹에 해당하며, 이전 Kaspersky Security Center 버전과의 호환성을 위해서만 사용됩니다.
- 다음 Kaspersky Security Center Linux 서비스를 다시 시작합니다.
- 중앙 관리 서버
- 웹 서버
- 활성화 프록시
결과적으로 TLS 프로토콜을 사용한 트래픽 암호화가 활성화됩니다.
KLTR_TLS12_ENABLED 및 KLTR_TLS13_ENABLED 플래그를 사용하여 각각 TLS 1.2 및 TLS 1.3 프로토콜 지원을 활성화할 수 있습니다. 이러한 플래그는 기본적으로 활성화되어 있습니다.
TLS 1.2 및 TLS 1.3 프로토콜 지원을 활성화하거나 비활성화하려면:
- klscflag 유틸리티를 실행합니다.
명령줄을 실행한 후 klscflag 유틸리티를 사용하여 현재 디렉터리를 해당 디렉터리로 변경합니다. klscflag 유틸리티는 중앙 관리 서버가 설치된 디렉터리에 있습니다. 기본 설치 경로는 /opt/kaspersky/ksc64/sbin입니다.
- 루트 계정의 명령줄에서 다음 명령 중 하나를 실행합니다.
- TLS 1.2 프로토콜 지원을 활성화하거나 비활성화하려면 다음 명령을 사용합니다.
klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <value> -t d
- TLS 1.3 프로토콜 지원을 활성화하거나 비활성화하려면 다음 명령을 사용합니다.
klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <value> -t d
플래그의 <value> 파라미터를 지정합니다.
1
–TLS 프로토콜 지원을 활성화합니다.0
–TLS 프로토콜 지원을 비활성화합니다.
- TLS 1.2 프로토콜 지원을 활성화하거나 비활성화하려면 다음 명령을 사용합니다.