Criptaggio delle comunicazioni con TLS

Per correggere le vulnerabilità nella rete aziendale dell'organizzazione, è possibile abilitare il criptaggio del traffico tramite il protocollo TLS. È possibile abilitare i protocolli di criptaggio TLS e i pacchetti di criptaggio supportati in Administration Server. Kaspersky Security Center Linux supporta le versioni del protocollo TLS 1.0, 1.1, 1.2 e 1.3. È possibile selezionare il protocollo e i pacchetti di criptaggio richiesti.

Kaspersky Security Center Linux utilizza certificati autofirmati. È inoltre possibile utilizzare i propri certificati. Gli specialisti di Kaspersky consigliano di utilizzare i certificati rilasciati da autorità di certificazione attendibili.

Per configurare i protocolli e i pacchetti di criptaggio consentiti in Administration Server:

  1. Eseguire la riga dei comandi, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella directory in cui è installato Administration Server. Il percorso di installazione predefinito è /opt/kaspersky/ksc64/sbin.
  2. Utilizzare il contrassegno SrvUseStrictSslSettings per configurare i protocolli e i pacchetti di criptaggio consentiti in Administration Server. Eseguire il seguente comando nella riga di comando nell'account root:

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <valore> -t d

    Specificare il parametro <valore> del contrassegno SrvUseStrictSslSettings:

    • 4: Sono abilitati solo i protocolli TLS 1.2 e TLS 1.3. Sono abilitate anche le suite di criptaggio con TLS_RSA_WITH_AES_256_GCM_SHA384 (queste suite di criptaggio sono necessarie per la retrocompatibilità con le versioni precedenti di Kaspersky Security Center Linux). Questo è il valore predefinito.

      Suite di criptaggio supportate per il protocollo TLS 1.2:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • AES256-GCM-SHA384 (suite di criptaggio con TLS_RSA_WITH_AES_256_GCM_SHA384)
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      Suite di criptaggio supportate per il protocollo TLS 1.3:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256
    • 5: Sono abilitati solo i protocolli TLS 1.2 e TLS 1.3. Per i protocolli TLS 1.2 e TLS 1.3, sono supportati i pacchetti di criptaggio specifici elencati di seguito.

      Suite di criptaggio supportate per il protocollo TLS 1.2:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      Suite di criptaggio supportate per il protocollo TLS 1.3:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256

    Non è consigliabile utilizzare 0, 1, 2 o 3 come valore del parametro del contrassegno SrvUseStrictSslSettings. Questi valori dei parametri corrispondono a versioni non sicure del protocollo TLS (TLS 1.0 e TLS 1.1) e a suite di criptaggio non sicure e vengono utilizzati solo per la compatibilità con le versioni precedenti di Kaspersky Security Center.

  3. Riavviare i seguenti servizi Kaspersky Security Center Linux:
    • Administration Server
    • Server Web
    • Proxy di attivazione

Di conseguenza, il criptaggio del traffico utilizzando il protocollo TLS è abilitato.

È possibile utilizzare i contrassegni KLTR_TLS12_ENABLED e KLTR_TLS13_ENABLED per abilitare rispettivamente il supporto dei protocolli TLS 1.2 e TLS 1.3. Questi contrassegni sono abilitati per impostazione predefinita.

Per abilitare o disabilitare il supporto dei protocolli TLS 1.2 e TLS 1.3:

  1. Eseguire l'utilità klscflag.

    Eseguire la riga dei comandi, quindi modificare la directory corrente nella directory con l'utilità klscflag. L'utilità klscflag si trova nella directory in cui è installato Administration Server. Il percorso di installazione predefinito è /opt/kaspersky/ksc64/sbin.

  2. Eseguire uno dei seguenti comandi nella riga di comando nell'account root:
    • Utilizzare questo comando per abilitare o disabilitare il supporto del protocollo TLS 1.2:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <valore> -t d

    • Utilizzare questo comando per abilitare o disabilitare il supporto del protocollo TLS 1.3:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <valore> -t d

    Specificare il parametro <valore> del contrassegno:

    • 1: Per abilitare il supporto del protocollo TLS.
    • 0: Per disabilitare il supporto del protocollo TLS.
Inizio pagina