(Новая страница: «Компоненты Ключ-Астром обмениваются данными через SSL, использующий шифры для шифрования...») |
Нет описания правки |
||
| Строка 1: | Строка 1: | ||
Компоненты | Компоненты АппОптима обмениваются данными через SSL, использующий шифры для шифрования HTTP-запросов. Не все доступные шифры в настоящее время считаются достаточно безопасными. Поэтому по умолчанию исключаются некоторые шифры (например, все MD5, все RC4, все DES, все DSS). | ||
Чтобы проверить, какие шифры поддерживаются, и обеспечить правильность именования шифров, всегда используйте Nmap для сканирования шифров в АктивномШлюзе, так как Nmap использует тот же синтаксис, что и | Чтобы проверить, какие шифры поддерживаются, и обеспечить правильность именования шифров, всегда используйте Nmap для сканирования шифров в АктивномШлюзе, так как Nmap использует тот же синтаксис, что и АппОптима. | ||
== Настройка шифров == | == Настройка шифров == | ||
| Строка 9: | Строка 9: | ||
* Сканируйте поддерживаемые шифры с помощью Nmap. Результатом сканирования будет список, подобный следующему: | * Сканируйте поддерживаемые шифры с помощью Nmap. Результатом сканирования будет список, подобный следующему: | ||
< | <PORT STATE SERVICE | ||
9999/tcp open abyss | 9999/tcp open abyss | ||
| ssl-enum-ciphers: | | ssl-enum-ciphers: | ||
| Строка 31: | Строка 31: | ||
* Исключите нежелательные шифры, перечислив их в файле <code>custom.properties</code>. Мы поддерживаем только исключения шаблонов, поэтому в приведенном ниже примере исключение <code>TLS_DHE_RSA_WITH_AES_256_CBC_SHA</code> также исключает <code>TLS_DHE_RSA_WITH_AES_256_CBC_SHA384</code>. В следующем примере показано, как исключить шифры ECDHE из приведенного выше списка: | * Исключите нежелательные шифры, перечислив их в файле <code>custom.properties</code>. Мы поддерживаем только исключения шаблонов, поэтому в приведенном ниже примере исключение <code>TLS_DHE_RSA_WITH_AES_256_CBC_SHA</code> также исключает <code>TLS_DHE_RSA_WITH_AES_256_CBC_SHA384</code>. В следующем примере показано, как исключить шифры ECDHE из приведенного выше списка: | ||
< | <[com.compuware.apm.webserver] | ||
excluded-ciphers = TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256</code> | excluded-ciphers = TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256</code> | ||
Проблема с этим подходом заключается в том, что список становится длинным, и поэтому его трудно поддерживать, если OpenSSL изменяется. Более надежным/динамичным способом является использование подшаблона, как показано в примере ниже. | Проблема с этим подходом заключается в том, что список становится длинным, и поэтому его трудно поддерживать, если OpenSSL изменяется. Более надежным/динамичным способом является использование подшаблона, как показано в примере ниже. | ||
< | <[com.compuware.apm.webserver] | ||
excluded-ciphers = TLS_ECDHE_</code> | excluded-ciphers = TLS_ECDHE_</code> | ||
В этом примере будут исключены все имена шифров, содержащие строку <code>TLS_ECDHE_</code>. Этот шаблон исключит дополнительные шифры, если базовый список изменится, например, из-за обновлений OpenSSL. | В этом примере будут исключены все имена шифров, содержащие строку <code>TLS_ECDHE_</code>. Этот шаблон исключит дополнительные шифры, если базовый список изменится, например, из-за обновлений OpenSSL. | ||
Чтобы исключить шаблон суффикса, завершите строку шаблона символом <code>$</code>. Чтобы исключить SHA без исключения <code>SHA256</code>, укажите <code>SHA$</code> в качестве шаблона. Например: | Чтобы исключить шаблон суффикса, завершите строку шаблона символом <code>$</code>. Чтобы исключить SHA без исключения <code>SHA256</code>, укажите <code>SHA$</code> в качестве шаблона. Например: | ||
< | <[com.compuware.apm.webserver] | ||
excluded-ciphers = TLS_RSA_WITH,_SHA$</code> | excluded-ciphers = TLS_RSA_WITH,_SHA$</code> | ||
Кроме того, вы можете определить, какие шифры вы хотите включить. | Кроме того, вы можете определить, какие шифры вы хотите включить. | ||
< | <[com.compuware.apm.webserver] | ||
included-ciphers = _ECDHE_</code> | included-ciphers = _ECDHE_</code> | ||
Как правило, вы определяете либо включенные, либо исключенные шифры, но не оба. | Как правило, вы определяете либо включенные, либо исключенные шифры, но не оба. | ||
Обратите внимание, что '''если шифр был определен в списке как включенных, так и исключенных, он будет считаться исключенным — ''исключение имеет приоритет над включением'''''. | Обратите внимание, что '''если шифр был определен в списке как включенных, так и исключенных, он будет считаться исключенным — ''исключение имеет приоритет над включением'''''. | ||
Версия от 11:26, 11 ноября 2024
Компоненты АппОптима обмениваются данными через SSL, использующий шифры для шифрования HTTP-запросов. Не все доступные шифры в настоящее время считаются достаточно безопасными. Поэтому по умолчанию исключаются некоторые шифры (например, все MD5, все RC4, все DES, все DSS).
Чтобы проверить, какие шифры поддерживаются, и обеспечить правильность именования шифров, всегда используйте Nmap для сканирования шифров в АктивномШлюзе, так как Nmap использует тот же синтаксис, что и АппОптима.
Настройка шифров
Сканирование шифров
- Сканируйте поддерживаемые шифры с помощью Nmap. Результатом сканирования будет список, подобный следующему:
<PORT STATE SERVICE 9999/tcp open abyss | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 2048) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 2048) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A | compressors: | NULL | cipher preference: server |_ least strength: A
Исключение шифров
- Исключите нежелательные шифры, перечислив их в файле
custom.properties. Мы поддерживаем только исключения шаблонов, поэтому в приведенном ниже примере исключениеTLS_DHE_RSA_WITH_AES_256_CBC_SHAтакже исключаетTLS_DHE_RSA_WITH_AES_256_CBC_SHA384. В следующем примере показано, как исключить шифры ECDHE из приведенного выше списка:
<[com.compuware.apm.webserver] excluded-ciphers = TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
Проблема с этим подходом заключается в том, что список становится длинным, и поэтому его трудно поддерживать, если OpenSSL изменяется. Более надежным/динамичным способом является использование подшаблона, как показано в примере ниже.
<[com.compuware.apm.webserver] excluded-ciphers = TLS_ECDHE_
В этом примере будут исключены все имена шифров, содержащие строку TLS_ECDHE_. Этот шаблон исключит дополнительные шифры, если базовый список изменится, например, из-за обновлений OpenSSL.
Чтобы исключить шаблон суффикса, завершите строку шаблона символом $. Чтобы исключить SHA без исключения SHA256, укажите SHA$ в качестве шаблона. Например:
<[com.compuware.apm.webserver] excluded-ciphers = TLS_RSA_WITH,_SHA$
Кроме того, вы можете определить, какие шифры вы хотите включить.
<[com.compuware.apm.webserver] included-ciphers = _ECDHE_
Как правило, вы определяете либо включенные, либо исключенные шифры, но не оба.
Обратите внимание, что если шифр был определен в списке как включенных, так и исключенных, он будет считаться исключенным — исключение имеет приоритет над включением.