TLS를 사용하여 통신 암호화

조직의 기업 네트워크에서 취약점을 수정하려면 TLS 프로토콜을 사용하여 트래픽 암호화를 활성화할 수 있습니다. 중앙 관리 서버 및 iOS MDM 서버에서 TLS 암호화 프로토콜과 지원되는 암호 그룹을 활성화할 수 있습니다. Kaspersky Security Center는 TLS 프로토콜 버전 1.0, 1.1, 1.2를 지원합니다. 필요한 암호화 프로토콜과 암호 그룹을 선택할 수 있습니다.

Kaspersky Security Center는 자체 서명된 인증서를 사용합니다. iOS 기기를 추가로 구성할 필요는 없습니다. 자체 인증서를 사용할 수도 있습니다. Kaspersky 전문가의 권장 사항에 따라 신뢰할 수 있는 인증 기관에서 발급한 인증서를 사용하는 것이 좋습니다.

중앙 관리 서버

중앙 관리 서버에서 허용되는 암호화 프로토콜 및 암호 그룹을 구성하려면 다음과 같이 하십시오:

  1. 관리자 권한을 사용하여 Windows 명령 프롬프트를 실행한 후 klscflag 유틸리티를 사용하여 현재 디렉터리를 해당 디렉터리로 변경합니다. klscflag 유틸리티는 중앙 관리 서버가 설치된 폴더에 있습니다. 기본 설치 경로는 <디스크>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center입니다.
  2. SrvUseStrictSslSettings 플래그를 사용하여 중앙 관리 서버에서 허용되는 암호화 프로토콜 및 암호 그룹을 구성합니다. Windows 명령 프롬프트에서 다음 명령을 입력합니다.

    klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <value> -t d

    SrvUseStrictSslSettings 플래그의 <value> 파라미터를 지정합니다.

    • 4 - TLS 1.2 프로토콜만 활성화됩니다. 또한 TLS_RSA_WITH_AES_256_GCM_SHA384가 포함된 암호 그룹이 활성화됩니다(이 암호 그룹은 Kaspersky Security Center 11과의 하위 호환성을 위해 필요합니다). 이는 기본값입니다.

      TLS 1.2 프로토콜에 지원되는 암호 그룹:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • AES256-GCM-SHA384(TLS_RSA_WITH_AES_256_GCM_SHA384를 사용한 암호 그룹)
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256
    • 5 - TLS 1.2 프로토콜만 활성화됩니다. TLS 1.2 프로토콜에서는 아래 나열된 특정 암호 그룹을 지원합니다.

      TLS 1.2 프로토콜에서 지원하는 암호 그룹:

      • ECDHE-RSA-AES256-GCM-SHA384
      • ECDHE-RSA-AES256-SHA384
      • ECDHE-RSA-CHACHA20-POLY1305
      • ECDHE-RSA-AES128-GCM-SHA256
      • ECDHE-RSA-AES128-SHA256

    SrvUseStrictSslSettings 플래그의 파라미터 값으로 0, 1, 2, 3은 사용하지 않을 것을 권장합니다. 이러한 파라미터 값은 안전하지 않은 TLS 프로토콜 버전(TLS 1.0 및 TLS 1.1 프로토콜) 및 안전하지 않은 암호 그룹에 해당하며, 이전 Kaspersky Security Center 버전과의 호환성을 위해서만 사용됩니다.

  3. 다음 Kaspersky Security Center 14.2 서비스를 다시 시작하십시오.
    • 중앙 관리 서버
    • 웹 서버
    • 활성화 프록시

iOS MDM 서버

iOS 기기와 iOS MDM 서버 간의 연결은 기본적으로 암호화됩니다.

iOS MDM 서버에서 허용되는 암호화 프로토콜 및 암호 그룹을 구성하려면 다음과 같이 하십시오:

  1. iOS MDM 서버가 설치된 클라이언트 기기에서 시스템 레지스트리를 엽니다(예:로컬에서 시작실행 메뉴의 regedit 명령 사용).
  2. 다음 하이브로 이동합니다:
    • 32비트 운영 체제:

      HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

    • 64비트 운영 체제:

      HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\Components\34\Connectors\KLIOSMDM\1.0.0.0\Conset

  3. StrictSslSettings 이름으로 키를 만듭니다.
  4. 키 유형으로 DWORD를 지정합니다.
  5. 키 값 지정:
    • 2 - TLS 1.0, TLS 1.1, TLS 1.2 프로토콜이 활성화됩니다.
    • 3 - TLS 1.2 프로토콜만 활성화됩니다(기본값).
  6. Kaspersky Security Center iOS MDM 서버 서비스를 다시 시작합니다.
맨 위로