社内の企業ネットワークの脆弱性を修正するために、TLS プロトコルを使用したトラフィックの暗号化を有効にすることができます。管理サーバーで TLS 暗号化プロトコルとサポートされている暗号スイートを有効にすることができます。Kaspersky Security Center Linux は、TLS プロトコルのバージョン 1.0、1.1、1.2 および 1.3 をサポートしています。必要な暗号化プロトコルと暗号化スイートを選択できます。
Kaspersky Security Center Linux は、自己署名証明書を使用します。証明書を自分で用意して使用することもできます。カスペルスキーの専門家は、信頼できる認証機関が発行した証明書を使用することを推奨します。
管理サーバーで許可される暗号化プロトコルと暗号化スイートを設定するには、次の手順に従います:
klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <値> -t d
SrvUseStrictSslSettings フラグの <値> パラメータを指定します:
4—TLS 1.2 および TLS 1.3 プロトコルのみが有効になります。また、TLS_RSA_WITH_AES_256_GCM_SHA384 の暗号スイートも有効になります(この暗号スイートは、Kaspersky Security Center Linux との下位互換性のために必要です)。これは既定値です。TLS 1.2 プロトコルでサポートされる暗号スイート:
TLS 1.3 プロトコルでサポートされる暗号スイート:
5—TLS 1.2 および TLS 1.3 プロトコルのみが有効になります。TLS 1.2 および TLS 1.3 プロトコルの場合、以下にリストされている特定の暗号スイートがサポートされています。TLS 1.2 プロトコルでサポートされる暗号スイート:
TLS 1.3 プロトコルでサポートされる暗号スイート:
SrvUseStrictSslSettings フラグのパラメータ値として 0、1、2、または 3 を使用することは推奨しません。これらのパラメータ値は、セキュアでない TLS プロトコルバージョン(TLS 1.0 および TLS 1.1)およびセキュアでない暗号スイートに対応しており、以前の Kaspersky Security Center バージョンとの下位互換性のためにのみ使用されます。
その結果、TLS プロトコルを使用したトラフィック暗号化が有効になります。
KLTR_TLS12_ENABLED フラグおよび KLTR_TLS13_ENABLED フラグを使用して、それぞれ TLS 1.2 および TLS 1.3 プロトコルのサポートを有効にすることができます。これらのフラグは既定で有効になっています。
TLS 1.2 および TLS 1.3 プロトコルのサポートを有効または無効にするには:
コマンドラインを実行し、現在のディレクトリを klscflag ユーティリティのあるディレクトリに変更します。klscflag ユーティリティは、管理サーバーがインストールされているディレクトリにあります。既定のインストールパスは /opt/kaspersky/ksc64/sbin です。
klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <値> -t d
klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <値> -t d
フラグの <値> パラメータを指定します:
1—TLS プロトコルのサポートを有効にします。0—TLS プロトコルのサポートを無効にします。