TLS қосылымын шифрлау

Ұйымыңыздың желісіндегі осалдықтарды түзету үшін TLS протоколымен трафикті шифрлауды қосуға болады. Басқару серверде TLS шифрлау протоколдарын және қолдау көрсетілетін шифр жиынтықтарын қосуға болады. Kaspersky Security Center Linux жүйесі TLS протоколының 1.0, 1.1, 1.2 және 1.3 нұсқаларына қолдау көрсетеді. Сіз қажетті шифрлау протоколы мен шифрлау жиынтықтарын таңдай аласыз.

Kaspersky Security Center Linux бағдарламасы өздігінен қол қойылатын сертификаттарды қолданады. Сондай-ақ, сіз өзіңіздің сертификаттарыңызды да қолдана аласыз. Сенімді сертификаттау орталығы қол қойған сертификаттарды қолдану ұсынылады.

Басқару серверінде рұқсат етілген шифрлау протоколдары мен шифрлау жиынтықтарын конфигурациялау үшін:

  1. Пәрмен жолын іске қосыңыз және ағымдағы каталогты klscflag утилитасы бар каталогке өзгертіңіз. Klscflag утилитасы Басқару сервер орнатылған каталогте орналасқан. Әдепкі бойынша жол - /opt/kaspersky/ksc64/sbin.
  2. Әкімшілік серверде рұқсат етілген шифрлау протоколдары мен шифрлау жиынтықтарын орнату үшін SrvUseStrictSslSettings жалаушасын қолданыңыз. root есептік жазбасындағы пәрмен жолында келесі пәрменді іске қосыңыз:

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <value> -t d

    SrvUseStrictSslSettings жалаушасының <value> параметрін көрсетіңіз:

    • 4 – TLS протоколдарының тек 1.2 және 1.3 нұсқалары қосылған. Сондай-ақ TLS_RSA_WITH_AES_256_GCM_SHA384 бар шифрлау жиынтығы қосылған (бұл шифрлау жиынтықтары Kaspersky Security Center Linux алдыңғы нұсқаларымен кері үйлесімділік үшін қажет). Бұл әдепкі бойынша мәнi.

      TLS 1.2 протоколы қолдау көрсететін шифрлау жиынтықтары:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • AES256-GCM-SHA384 (TLS_RSA_WITH_AES_256_GCM_SHA384 шифр жинағымен)
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      TLS 1.3 протоколы қолдау көрсететін шифрлау жиынтықтары:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256
    • 5 – TLS протоколдарының тек 1.2 және 1.3 нұсқалары қосылған. TLS протоколының 1.2 және 1.3 нұсқалары төменде берілген арнайы шифрлау жиынтықтарына қолдау көрсетеді.

      TLS 1.2 протоколы қолдау көрсететін шифрлау жиынтықтары:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      TLS 1.3 протоколы қолдау көрсететін шифрлау жиынтықтары:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256

    SrvUseStrictSslSettings жалауша параметрінің мәндері үшін 0, 1, 2 немесе 3 мәндерін пайдалану ұсынылмайды. Бұл параметр мәндері TLS протоколының қауіпті нұсқаларына (TLS 1.0 және TLS 1.1) және қауіпті шифрлау жиынтықтарына сәйкес келеді және Kaspersky Security Center бағдарламасының бұрынғы нұсқаларымен кері үйлесімділік үшін ғана пайдаланылады.

  3. Kaspersky Security Center Linux келесі қызметтерін қайта іске қосыңыз:
    • Басқару сервері
    • Веб-сервер
    • Прокси-серверді белсендіру қызметі

Нәтижесінде TLS протоколы арқылы трафикті шифрлау қосылады.

KLTR_TLS12_ENABLED және KLTR_TLS13_ENABLED жалаушаларын сәйкесінше TLS 1.2 және 1.3 протоколдарына қолдау көрсетуді қосу үшін пайдалануға болады. Бұл жалаушалар әдепкі бойынша қосылады.

TLS 1.2 және 1.3 протоколдарына қолдау көрсетуді қосу немесе өшіру үшін:

  1. klscflag утилитасын іске қосыңыз.

    Пәрмен жолын іске қосыңыз және ағымдағы каталогты klscflag утилитасы бар каталогке өзгертіңіз. Klscflag утилитасы Басқару сервер орнатылған каталогте орналасқан. Әдепкі бойынша жол - /opt/kaspersky/ksc64/sbin.

  2. root есептік жазбасында пәрмен жолында келесі пәрмендердің бірін іске қосыңыз:
    • TLS 1.2 протоколының қолдауын қосу немесе өшіру үшін осы пәрменді пайдаланыңыз:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <value> -t d

    • TLS 1.3 протоколының қолдауын қосу немесе өшіру үшін осы пәрменді пайдаланыңыз:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <value> -t d

    Жалаушаның <value> параметрін көрсетіңіз:

    • 1 – TLS протоколының қолдауын қосу үшін.
    • 0 – TLS протоколының қолдауын өшіру үшін.
Басына оралу