Szyfrowanie komunikacji z TLS
Aby usunąć luki w sieci korporacyjnej organizacji, możesz włączyć szyfrowanie ruchu sieciowego przy użyciu protokołu TLS. Możesz włączyć protokoły szyfrowania TLS i obsługiwane zestawy szyfrów na serwerze administracyjnym. Kaspersky Security Center Linux obsługuje wersje protokołu TLS 1.0, 1.1, 1.2 i 1.3. Możesz wybrać wymagany protokół szyfrowania i zestawy szyfrowania.
Kaspersky Security Center Linux używa certyfikatów z podpisem własnym. Możesz także użyć swoich własnych certyfikatów. Specjaliści z Kaspersky zalecają użycie certyfikatów wydanych przez zaufane urzędy certyfikacji.
W celu skonfigurowania dozwolonych protokołów szyfrowania i zestawów szyfrowania na Serwerze administracyjnym:
- Uruchom wiersz poleceń, a następnie zmień bieżący katalog na katalog z narzędziem klscflag. Narzędzie klscflag znajduje się w katalogu, w którym zainstalowany jest serwer administracyjny. Domyślna ścieżka instalacji to /opt/kaspersky/ksc64/sbin.
- Użyj flagi SrvUseStrictSslSettings w celu skonfigurowania dozwolonych protokołów szyfrowania i zestawów szyfrowania na Serwerze administracyjnym. Na koncie root wykonaj następujące polecenie w wierszu poleceń:
klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <wartość> -t d
Określ parametr <wartość> flagi SrvUseStrictSslSettings:
4
— Włączone są tylko protokoły TLS 1.2 i TLS 1.3. Włączone są także zestawy szyfrów z TLS_RSA_WITH_AES_256_GCM_SHA384 (te zestawy szyfrów są potrzebne do zapewnienia kompatybilności wstecznej z Kaspersky Security Center 11). To jest wartość domyślna.Zestawy szyfrów obsługiwane dla protokołu TLS 1.2:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-CHACHA20-POLY1305
- AES256-GCM-SHA384 (zestaw szyfrów z TLS_RSA_WITH_AES_256_GCM_SHA384)
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
Zestawy szyfrów obsługiwane dla protokołu TLS 1.3:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
- TLS_AES_128_CCM_SHA256
5
— Włączone są tylko protokoły TLS 1.2 i TLS 1.3. W przypadku protokołów TLS 1.2 i TLS 1.3 obsługiwane są określone zestawy szyfrów wymienione poniżej.Zestawy szyfrów obsługiwane dla protokołu TLS 1.2:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-CHACHA20-POLY1305
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
Zestawy szyfrów obsługiwane dla protokołu TLS 1.3:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
- TLS_AES_128_CCM_SHA256
Nie zalecamy używania wartości 0, 1, 2 lub 3 jako wartości parametru flagi SrvUseStrictSslSettings. Te wartości parametrów odpowiadają niezabezpieczonym wersjom protokołu TLS (protokoły TLS 1.0 i TLS 1.1) oraz niezabezpieczonym zestawom szyfrów i są używane wyłącznie w celu zapewnienia kompatybilności wstecznej z wcześniejszymi wersjami Kaspersky Security Center.
- Uruchom ponownie następujące usługi Kaspersky Security Center Linux:
- Serwer administracyjny
- Serwer sieciowy
- Activation Proxy
Dzięki temu włączone jest szyfrowanie ruchu sieciowego przy użyciu protokołu TLS.
Możesz użyć flag KLTR_TLS12_ENABLED i KLTR_TLS13_ENABLED, aby włączyć obsługę odpowiednio protokołów TLS 1.2 i TLS 1.3. Te flagi są domyślnie włączone.
Aby włączyć lub wyłączyć obsługę protokołów TLS 1.2 i TLS 1.3:
- Uruchom narzędzie klscflag.
Uruchom wiersz poleceń, a następnie zmień bieżący katalog na katalog z narzędziem klscflag. Narzędzie klscflag znajduje się w katalogu, w którym zainstalowany jest serwer administracyjny. Domyślna ścieżka instalacji to /opt/kaspersky/ksc64/sbin.
- Na koncie root wykonaj jedno z następujących poleceń w wierszu poleceń:
- Użyj tego polecenia, aby włączyć lub wyłączyć obsługę protokołu TLS 1.2:
klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <value> -t d
- Użyj tego polecenia, aby włączyć lub wyłączyć obsługę protokołu TLS 1.3:
klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <value> -t d
Określ parametr <wartość> flagi:
1
— Aby włączyć obsługę protokołu TLS.0
— Aby wyłączyć obsługę protokołu TLS.
- Użyj tego polecenia, aby włączyć lub wyłączyć obsługę protokołu TLS 1.2: