조직의 기업 네트워크에서 취약점을 수정하려면 TLS 프로토콜을 사용하여 트래픽 암호화를 활성화할 수 있습니다. 중앙 관리 서버에서 TLS 암호화 프로토콜과 지원되는 암호 그룹을 활성화할 수 있습니다. Kaspersky Security Center Linux는 TLS 프로토콜 버전 1.0, 1.1, 1.2, 1.3을 지원합니다. 필요한 암호화 프로토콜과 암호 그룹을 선택할 수 있습니다.
Kaspersky Security Center Linux는 자체 서명 인증서를 사용합니다. 자체 인증서를 사용할 수도 있습니다. Kaspersky 전문가의 권장 사항에 따라 신뢰할 수 있는 인증 기관에서 발급한 인증서를 사용할 것을 권장합니다.
중앙 관리 서버에서 허용되는 암호화 프로토콜 및 암호 그룹을 구성하려면:
klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <value> -t d
SrvUseStrictSslSettings 플래그의 <value> 파라미터를 지정합니다.
4–TLS 1.2 및 TLS 1.3 프로토콜만 활성화됩니다. 또한 TLS_RSA_WITH_AES_256_GCM_SHA384가 포함된 암호 그룹이 활성화됩니다(이 암호 그룹은 이전 Kaspersky Security Center Linux 버전의 하위 호환성을 위해 필요합니다). 이는 기본값입니다.TLS 1.2 프로토콜에서 지원하는 암호 그룹:
TLS 1.3 프로토콜에서 지원하는 암호 그룹:
5–TLS 1.2 및 TLS 1.3 프로토콜만 활성화됩니다. TLS 1.2 및 TLS 1.3 프로토콜에서는 아래 나열된 특정 암호 그룹을 지원합니다.TLS 1.2 프로토콜에서 지원하는 암호 그룹:
TLS 1.3 프로토콜에서 지원하는 암호 그룹:
SrvUseStrictSslSettings 플래그의 파라미터 값으로 0, 1, 2, 3은 사용하지 않을 것을 권장합니다. 이러한 파라미터 값은 안전하지 않은 TLS 프로토콜 버전(TLS 1.0 및 TLS 1.1) 및 안전하지 않은 암호 그룹에 해당하며, 이전 Kaspersky Security Center 버전과의 호환성을 위해서만 사용됩니다.
결과적으로 TLS 프로토콜을 사용한 트래픽 암호화가 활성화됩니다.
KLTR_TLS12_ENABLED 및 KLTR_TLS13_ENABLED 플래그를 사용하여 각각 TLS 1.2 및 TLS 1.3 프로토콜 지원을 활성화할 수 있습니다. 이러한 플래그는 기본적으로 활성화되어 있습니다.
TLS 1.2 및 TLS 1.3 프로토콜 지원을 활성화하거나 비활성화하려면:
명령줄을 실행한 후 klscflag 유틸리티를 사용하여 현재 디렉터리를 해당 디렉터리로 변경합니다. klscflag 유틸리티는 중앙 관리 서버가 설치된 디렉터리에 있습니다. 기본 설치 경로는 /opt/kaspersky/ksc64/sbin입니다.
klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <value> -t d
klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <value> -t d
플래그의 <value> 파라미터를 지정합니다.
1–TLS 프로토콜 지원을 활성화합니다.0–TLS 프로토콜 지원을 비활성화합니다.