Открыть поиск
Открыть меню
869
701
11
7 тыс.
Документация АппОптима
Открыть персональное меню
Вы не представились системе
Your IP address will be publicly visible if you make any edits.

Конфигурация шифра для АктивногоШлюза: различия между версиями

Материал из Документация АппОптима
Дополнительные действия
(Новая страница: «Компоненты Ключ-Астром обмениваются данными через SSL, использующий шифры для шифрования...»)
 
Нет описания правки
 
(не показана 1 промежуточная версия этого же участника)
Строка 1: Строка 1:
Компоненты Ключ-Астром обмениваются данными через SSL, использующий шифры для шифрования HTTP-запросов. Не все доступные шифры в настоящее время считаются достаточно безопасными. Поэтому по умолчанию исключаются некоторые шифры (например, все MD5, все RC4, все DES, все DSS).
'''''[[Установка и настройка]] / [[Установка и настройка|Основные элементы АппОптима]] / [[АктивныйШлюз АппОптима]] / [[АктивныйШлюз АппОптима|Подробнее об АктивныхШлюзах]] / [[Конфигурация АктивногоШлюза]] / Конфигурация шифра для АктивногоШлюза'''''


Чтобы проверить, какие шифры поддерживаются, и обеспечить правильность именования шифров, всегда используйте Nmap для сканирования шифров в АктивномШлюзе, так как Nmap использует тот же синтаксис, что и Ключ-Астром.
Компоненты АппОптима обмениваются данными через SSL, использующий шифры для шифрования HTTP-запросов. Не все доступные шифры в настоящее время считаются достаточно безопасными. Поэтому по умолчанию исключаются некоторые шифры (например, все MD5, все RC4, все DES, все DSS).
 
Чтобы проверить, какие шифры поддерживаются, и обеспечить правильность именования шифров, всегда используйте Nmap для сканирования шифров в АктивномШлюзе, так как Nmap использует тот же синтаксис, что и АппОптима.


== Настройка шифров ==
== Настройка шифров ==
Строка 9: Строка 11:
* Сканируйте поддерживаемые шифры с помощью Nmap. Результатом сканирования будет список, подобный следующему:
* Сканируйте поддерживаемые шифры с помощью Nmap. Результатом сканирования будет список, подобный следующему:


  <code>PORT    STATE SERVICE
  <PORT    STATE SERVICE
  9999/tcp open  abyss
  9999/tcp open  abyss
  | ssl-enum-ciphers:
  | ssl-enum-ciphers:
Строка 25: Строка 27:
  |      NULL
  |      NULL
  |    cipher preference: server
  |    cipher preference: server
  |_  least strength: A</code>
  |_  least strength: A


=== Исключение шифров ===
=== Исключение шифров ===
Строка 31: Строка 33:
* Исключите нежелательные шифры, перечислив их в файле <code>custom.properties</code>. Мы поддерживаем только исключения шаблонов, поэтому в приведенном ниже примере исключение <code>TLS_DHE_RSA_WITH_AES_256_CBC_SHA</code> также исключает <code>TLS_DHE_RSA_WITH_AES_256_CBC_SHA384</code>. В следующем примере показано, как исключить шифры ECDHE из приведенного выше списка:
* Исключите нежелательные шифры, перечислив их в файле <code>custom.properties</code>. Мы поддерживаем только исключения шаблонов, поэтому в приведенном ниже примере исключение <code>TLS_DHE_RSA_WITH_AES_256_CBC_SHA</code> также исключает <code>TLS_DHE_RSA_WITH_AES_256_CBC_SHA384</code>. В следующем примере показано, как исключить шифры ECDHE из приведенного выше списка:


  <code>[com.compuware.apm.webserver]
  <[com.compuware.apm.webserver]
  excluded-ciphers = TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256</code>
  excluded-ciphers = TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
Проблема с этим подходом заключается в том, что список становится длинным, и поэтому его трудно поддерживать, если OpenSSL изменяется. Более надежным/динамичным способом является использование подшаблона, как показано в примере ниже.
Проблема с этим подходом заключается в том, что список становится длинным, и поэтому его трудно поддерживать, если OpenSSL изменяется. Более надежным/динамичным способом является использование подшаблона, как показано в примере ниже.
  <code>[com.compuware.apm.webserver]
  <[com.compuware.apm.webserver]
  excluded-ciphers = TLS_ECDHE_</code>
  excluded-ciphers = TLS_ECDHE_
В этом примере будут исключены все имена шифров, содержащие строку <code>TLS_ECDHE_</code>. Этот шаблон исключит дополнительные шифры, если базовый список изменится, например, из-за обновлений OpenSSL.
В этом примере будут исключены все имена шифров, содержащие строку <code>TLS_ECDHE_</code>. Этот шаблон исключит дополнительные шифры, если базовый список изменится, например, из-за обновлений OpenSSL.


Чтобы исключить шаблон суффикса, завершите строку шаблона символом <code>$</code>. Чтобы исключить SHA без исключения <code>SHA256</code>, укажите <code>SHA$</code> в качестве шаблона. Например:
Чтобы исключить шаблон суффикса, завершите строку шаблона символом <code>$</code>. Чтобы исключить SHA без исключения <code>SHA256</code>, укажите <code>SHA$</code> в качестве шаблона. Например:
  <code>[com.compuware.apm.webserver]
  <[com.compuware.apm.webserver]
  excluded-ciphers = TLS_RSA_WITH,_SHA$</code>
  excluded-ciphers = TLS_RSA_WITH,_SHA$
Кроме того, вы можете определить, какие шифры вы хотите включить.
Кроме того, вы можете определить, какие шифры вы хотите включить.
  <code>[com.compuware.apm.webserver]
  <[com.compuware.apm.webserver]
  included-ciphers = _ECDHE_</code>
  included-ciphers = _ECDHE_
Как правило, вы определяете либо включенные, либо исключенные шифры, но не оба.  
Как правило, вы определяете либо включенные, либо исключенные шифры, но не оба.  


Обратите внимание, что '''если шифр был определен в списке как включенных, так и исключенных, он будет считаться исключенным — ''исключение имеет приоритет над включением'''''.
Обратите внимание, что '''если шифр был определен в списке как включенных, так и исключенных, он будет считаться исключенным — ''исключение имеет приоритет над включением'''''.

Текущая версия от 08:27, 8 января 2025

Установка и настройка / Основные элементы АппОптима / АктивныйШлюз АппОптима / Подробнее об АктивныхШлюзах / Конфигурация АктивногоШлюза / Конфигурация шифра для АктивногоШлюза

Компоненты АппОптима обмениваются данными через SSL, использующий шифры для шифрования HTTP-запросов. Не все доступные шифры в настоящее время считаются достаточно безопасными. Поэтому по умолчанию исключаются некоторые шифры (например, все MD5, все RC4, все DES, все DSS).

Чтобы проверить, какие шифры поддерживаются, и обеспечить правильность именования шифров, всегда используйте Nmap для сканирования шифров в АктивномШлюзе, так как Nmap использует тот же синтаксис, что и АппОптима.

Настройка шифров

Сканирование шифров

  • Сканируйте поддерживаемые шифры с помощью Nmap. Результатом сканирования будет список, подобный следующему:
<PORT     STATE SERVICE
9999/tcp open  abyss
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Исключение шифров

  • Исключите нежелательные шифры, перечислив их в файле custom.properties. Мы поддерживаем только исключения шаблонов, поэтому в приведенном ниже примере исключение TLS_DHE_RSA_WITH_AES_256_CBC_SHA также исключает TLS_DHE_RSA_WITH_AES_256_CBC_SHA384. В следующем примере показано, как исключить шифры ECDHE из приведенного выше списка:
<[com.compuware.apm.webserver]
excluded-ciphers = TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Проблема с этим подходом заключается в том, что список становится длинным, и поэтому его трудно поддерживать, если OpenSSL изменяется. Более надежным/динамичным способом является использование подшаблона, как показано в примере ниже. 

<[com.compuware.apm.webserver]
excluded-ciphers = TLS_ECDHE_

В этом примере будут исключены все имена шифров, содержащие строку TLS_ECDHE_. Этот шаблон исключит дополнительные шифры, если базовый список изменится, например, из-за обновлений OpenSSL.

Чтобы исключить шаблон суффикса, завершите строку шаблона символом $. Чтобы исключить SHA без исключения SHA256, укажите SHA$ в качестве шаблона. Например: 

<[com.compuware.apm.webserver]
excluded-ciphers = TLS_RSA_WITH,_SHA$

Кроме того, вы можете определить, какие шифры вы хотите включить. 

<[com.compuware.apm.webserver]
included-ciphers = _ECDHE_

Как правило, вы определяете либо включенные, либо исключенные шифры, но не оба.

Обратите внимание, что если шифр был определен в списке как включенных, так и исключенных, он будет считаться исключенным — исключение имеет приоритет над включением.

Источник — https://docs.expert-apm.ru/index.php?title=Конфигурация_шифра_для_АктивногоШлюза&oldid=6899
Последнее изменение