Criptografar comunicação com TLS

Para a correção de vulnerabilidades na rede corporativa de sua organização, é possível ativar a criptografia de tráfego usando o protocolo TLS. É possível ativar os protocolos de criptografia TLS e os pacotes de codificação compatíveis no Servidor de Administração. O Kaspersky Security Center Linux é compatível com o protocolo TLS versões 1.0, 1.1, 1.2 e 1.3. É possível selecionar o protocolo de criptografia e os pacotes de codificação requeridos.

O Kaspersky Security Center Linux usa certificados autoassinados. Você também pode usar seus próprios certificados. Os especialistas da Kaspersky recomendam usar certificados emitidos por autoridades de certificação confiáveis.

Para configurar os protocolos de criptografia e pacotes de codificação permitidos no Servidor de Administração:

  1. Execute a linha de comando e, em seguida, altere o diretório atual para o diretório com o utilitário klscflag. O utilitário klscflag está localizado no diretório no qual o Servidor de Administração está instalado. O caminho de instalação padrão é /opt/kaspersky/ksc64/sbin.
  2. Use o sinalizador SrvUseStrictSslSettings para configurar os protocolos de criptografia e pacotes de codificação permitidos no Servidor de Administração. Execute o seguinte comando na linha de comando com a conta root:

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <value> -t d

    Especifique o parâmetro <valor> do sinalizador SrvUseStrictSslSettings:

    • 4 - Somente os protocolos TLS 1.2 e TLS 1.3 estão ativados. Além disso, os pacotes de codificação com TLS_RSA_WITH_AES_256_GCM_SHA384 são ativados (esses pacotes de codificação são necessários para a compatibilidade com as versões anteriores do Kaspersky Security Center Linux). Esse é o valor padrão.

      Os pacotes de codificação compatíveis com o protocolo TLS 1.2:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • AES256-GCM-SHA384 (pacote de codificação com TLS_RSA_WITH_AES_256_GCM_SHA384)
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      Os pacotes de codificação compatíveis com o protocolo TLS 1.3:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256
    • 5 - Somente os protocolos TLS 1.2 e TLS 1.3 estão ativados. Para os protocolos TLS 1.2 e TLS 1.3, os pacotes de codificação específicos listados abaixo são compatíveis.

      Os pacotes de codificação compatíveis com o protocolo TLS 1.2:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

      Os pacotes de codificação compatíveis com o protocolo TLS 1.3:

      • TLS_AES_256_GCM_SHA384
      • TLS_CHACHA20_POLY1305_SHA256
      • TLS_AES_128_GCM_SHA256
      • TLS_AES_128_CCM_SHA256

    Não recomendamos usar 0, 1, 2 ou 3 como o valor do parâmetro do sinalizador SrvUseStrictSslSettings. Esses valores de parâmetro correspondem a versões inseguras do protocolo TLS (TLS 1.0 e TLS 1.1) e pacotes de codificação inseguros. Eles são usados somente para compatibilidade com versões anteriores do Kaspersky Security Center.

  3. Reinicie os seguintes serviços do Kaspersky Security Center Linux:
    • Servidor de Administração
    • Servidor Web
    • Proxy de ativação

Como resultado, a criptografia de tráfego usando o protocolo TLS é ativada.

É possível usar os sinalizadores KLTR_TLS12_ENABLED e KLTR_TLS13_ENABLED para ativar o suporte dos protocolos TLS 1.2 e TLS 1.3, respectivamente. Esses sinalizadores são ativados por padrão.

Para ativar ou desativar o suporte dos protocolos TLS 1.2 e TLS 1.3:

  1. Execute o utilitário klscflag.

    Execute a linha de comando e, em seguida, altere o diretório atual para o diretório com o utilitário klscflag. O utilitário klscflag está localizado no diretório no qual o Servidor de Administração está instalado. O caminho de instalação padrão é /opt/kaspersky/ksc64/sbin.

  2. Execute um dos seguintes comandos na linha de comando com a conta root:
    • Use este comando para ativar ou desativar o suporte do protocolo TLS 1.2:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <valor> -t d

    • Use este comando para ativar ou desativar o suporte do protocolo TLS 1.3:

      klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <valor> -t d

    Especifique o parâmetro <valor> do sinalizador:

    • 1 - Para ativar o suporte do protocolo TLS.
    • 0 - Para desativar o suporte do protocolo TLS.
Topo da página