Kommunikation mit TLS verschlüsseln

Um Schwachstellen im Unternehmensnetzwerk Ihres Unternehmens zu beheben, können Sie die Datenverkehrsverschlüsselung mittels TLS-Protokoll aktivieren. Sie können die TLS-Verschlüsselungsprotokolle und die unterstützten Cipher-Suites auf dem Administrationsserver aktivieren. Kaspersky Security Center Linux unterstützt das TLS-Protokoll folgender Versionen: 1.0, 1.1, 1.2 und 1.3. Sie können die erforderlichen Verschlüsselungsprotokolle und Cipher-Suites auswählen.

Kaspersky Security Center Linux verwendet selbstsignierte Zertifikate. Sie können auch Ihre eigenen Zertifikate verwenden. Die Experten von Kaspersky empfehlen, Zertifikate zu verwenden, die von vertrauenswürdigen Zertifizierungsstellen erteilt wurden.

So konfigurieren Sie die erlaubten Verschlüsselungsprotokolle und Cipher-Suites auf dem Administrationsserver:

  1. Öffnen Sie die Befehlszeile und wechseln Sie anschließend in das Verzeichnis mit dem Tool "klscflag". Das Tool "klscflag" befindet sich in dem Verzeichnis, in dem der Administrationsserver installiert ist. Der Standardinstallationspfad lautet "/opt/kaspersky/ksc64/sbin".
  2. Verwenden Sie das Flag "SrvUseStrictSslSettings", um erlaubte Verschlüsselungsprotokolle und Cipher-Suites auf dem Administrationsserver zu konfigurieren. Führen Sie in der Befehlszeile den folgenden Befehl unter einem Benutzerkonto mit Root-Rechten aus:

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <Wert> -t d

    Geben Sie den Parameter "<Wert>" des Flags "SrvUseStrictSslSettings" an:

    • 4 – Es sind nur die Protokolle TLS 1.2 und TLS 1.3 aktiviert. Außerdem sind Cipher-Suites mit TLS_RSA_WITH_AES_256_GCM_SHA384 aktiviert (Diese Cipher-Suites werden für die Abwärtskompatibilität mit früheren Versionen von Kaspersky Security Center Linux benötigt). Dies ist der Standardwert.

      Für das Protokoll TLS 1.2 unterstützte Cipher-Suites:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • AES256-GCM-SHA384 (Cipher-Suite mit TLS_RSA_WITH_AES_256_GCM_SHA384)
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      Für das Protokoll TLS 1.3 unterstützte Cipher-Suites:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256
    • 5 – Es sind nur die Protokolle TLS 1.2 und TLS 1.3 aktiviert. Für die Protokolle TLS 1.2 und TLS 1.3 werden die unten aufgeführten Cipher-Suites unterstützt.

      Für das Protokoll TLS 1.2 unterstützte Cipher-Suites:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      Für das Protokoll TLS 1.3 unterstützte Cipher-Suites:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256

    Es wird nicht empfohlen, "0", "1", "2" oder "3" als Parameterwert für das Flag "SrvUseStrictSslSettings" zu verwenden. Diese Parameterwerte stehen für unsichere Versionen des TLS-Protokolls (TLS 1.0 und TLS 1.1) und unsichere Cipher-Suites. Sie werden nur aus Gründen der Abwärtskompatibilität mit älteren Versionen von Kaspersky Security Center verwendet.

  3. Starten Sie die folgenden Dienste von Kaspersky Security Center Linux neu:
    • Administrationsserver
    • Webserver
    • Aktivierungs-Proxy

Dies aktiviert die Verschlüsselung des Datenverkehrs mithilfe des TLS-Protokolls.

Sie können die Flags "KLTR_TLS12_ENABLED" und "KLTR_TLS13_ENABLED" verwenden, um die Unterstützung der Protokolle TLS 1.2 bzw. TLS 1.3 zu aktivieren. Diese Flags sind standardmäßig aktiviert.

So aktivieren oder deaktivieren Sie die Unterstützung der Protokolle TLS 1.2 und TLS 1.3:

  1. Führen Sie das Tool "klscflag" aus.

    Öffnen Sie die Befehlszeile und wechseln Sie anschließend in das Verzeichnis mit dem Tool "klscflag". Das Tool "klscflag" befindet sich in dem Verzeichnis, in dem der Administrationsserver installiert ist. Der Standardinstallationspfad lautet "/opt/kaspersky/ksc64/sbin".

  2. Führen Sie in der Befehlszeile einen der folgenden Befehle unter einem Benutzerkonto mit Root-Rechten aus:
    • Verwenden Sie diesen Befehl, um die Unterstützung des Protokolls TLS 1.2 zu aktivieren oder zu deaktivieren:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <Wert> -t d

    • Verwenden Sie diesen Befehl, um die Unterstützung des Protokolls TLS 1.3 zu aktivieren oder zu deaktivieren:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <Wert> -t d

    Geben Sie den Parameter "<Wert>" des Flags an:

    • 1 – Die Unterstützung des TLS-Protokolls ist aktiviert.
    • 0 – Die Unterstützung des TLS-Protokolls ist deaktiviert.
Nach oben