Weitere Informationen zur Bedeutung des Compliance-Statusberichts finden Sie hier.
Code | Beschreibung | Compliance-Statusquelle | Wartung |
---|---|---|---|
72001 | Verschlüsselung ist deaktiviert. | Dieser Status wird gemeldet, wenn eine VPN-IPSec-Profilkonfiguration NO_ENCRYPTION , NO_ENCRYPTION_AUTH_AES_GMAC_128 , NO_ENCRYPTION_AUTH_AES_GMAC_192 oder NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms enthält.Dieser Status wirkt sich auf IPSec-VPN-Sitzungskonfigurationen aus, die die gemeldeten nicht kompatiblen Konfigurationen verwenden. |
Um diesen Status zu standardisieren, fügen Sie ein VPN-IPSec-Profil hinzu, das kompatible Verschlüsselungsalgorithmen verwendet, und nutzen Sie das Profil in allen VPN-Konfigurationen. Siehe Hinzufügen von IPSec-Profilen. |
72011 | BGP-Meldungen mit Nachbarn umgehen die Integritätsprüfung. Keine Nachrichtenauthentifizierung definiert. | Dieser Status wird gemeldet, wenn für BGP-Nachbarn kein Kennwort konfiguriert ist. Dieser Status wirkt sich auf die BGP-Nachbarkonfiguration aus. |
Um diesen Status zu standardisieren, konfigurieren Sie ein Kennwort für den BGP-Nachbarn und aktualisieren Sie die Tier-0-Gateway-Konfiguration für Verwendung des Kennworts. Siehe Konfigurieren des BGP-Protokolls. |
72012 | Die Kommunikation mit dem BGP-Nachbarn verwendet eine schwache Integritätsprüfung. MD5 wird für die Nachrichtenauthentifizierung verwendet. | Dieser Status wird gemeldet, wenn die MD5-Authentifizierung für das BGP-Nachbarkennwort verwendet wird. Dieser Status wirkt sich auf die BGP-Nachbarkonfiguration aus. |
Keine Wartung verfügbar, da NSX nur die MD5-Authentifizierung für BGP unterstützt. |
72021 | SSL-Version 3 wird für die Herstellung einer sicheren Socket-Verbindung verwendet. Es wird empfohlen, TLS v1.1 oder höher auszuführen und SSLv3 mit Protokollschwächen vollständig zu deaktivieren. | Dieser Status wird gemeldet, wenn SSL-Version 3 im Client-SSL-Profil des Load Balancers im Server-SSL-Profil des Load Balancers oder im HTTPS-Monitor des Load Balancers konfiguriert ist.
Dieser Status wirkt sich auf die folgenden Konfigurationen aus:
|
Um diesen Status zu standardisieren, konfigurieren Sie ein SSL-Profil für die Verwendung von TLS 1.1 oder höher und verwenden Sie dieses Profil in allen Load Balancer-Konfigurationen. Siehe Hinzufügen eines SSL-Profils. |
72022 | TLS-Version 1.0 wird für die Herstellung einer sicheren Socket-Verbindung verwendet. Es wird empfohlen, TLS v1.1 oder höher auszuführen und TLS v1.0 vollständig zu deaktivieren, da diese Version Protokollschwächen aufweist. | Dieser Status wird gemeldet, wenn TLS v1.0 im SSL-Profil des Clients des Load Balancers, im SSL-Profil des Servers des Load Balancers oder im HTTPS-Monitor des Load Balancers konfiguriert ist.
Dieser Status wirkt sich auf die folgenden Konfigurationen aus:
|
Um diesen Status zu standardisieren, konfigurieren Sie ein SSL-Profil für die Verwendung von TLS 1.1 oder höher und verwenden Sie dieses Profil in allen Load Balancer-Konfigurationen. Siehe Hinzufügen eines SSL-Profils. |
72023 | Es wird eine schwache Diffie-Hellman Group verwendet. | Dieser Fehler wird gemeldet, wenn ein VPN-IPSec-Profil oder eine VPN-IKE-Profilkonfiguration die folgenden Diffie-Hellman Groups enthält: 2, 5, 14, 15 oder 16. Die Gruppen 2 und 5 sind schwache Diffie-Hellman Groups. Die Gruppen 14, 15 und 16 sind keine schwachen Gruppen, aber nicht FIPS-kompatibel. Dieser Status wirkt sich auf IPSec-VPN-Sitzungskonfigurationen aus, die die gemeldeten nicht kompatiblen Konfigurationen verwenden. |
Um diesen Status zu standardisieren, konfigurieren Sie die VPN-Profile für die Verwendung der Diffie-Hellman Group 19, 20 oder 21. Siehe Hinzufügen von Profilen. |
72024 | Die globale FIPS-Einstellung für den Load Balancer ist deaktiviert. | Dieser Fehler wird gemeldet, wenn die globale FIPS-Einstellung für den Load Balancer deaktiviert ist. Dieser Status wirkt sich auf alle Load Balancer-Dienste aus. |
Um diesen Status zu standardisieren, aktivieren Sie FIPS für den Load Balancer. Siehe Konfigurieren des globalen FIPS-Übereinstimmungsmodus für den Load Balancer. |
72025 | Das Ausführen von QAT (Quick Assist Technologies) auf einem Edge-Knoten ist nicht FIPS-konform. | QAT ist ein Satz Hardware-beschleunigter Dienste, die Intel für Kryptografie und Komprimierung bereitstellt. | Verwenden Sie die NSX CLI, um die QAT-Nutzung zu deaktivieren. Weitere Informationen finden Sie unter „Intel QAT-Unterstützung für IPSec-VPN-Massenkryptografie“ im Installationshandbuch für NSX. |
72200 | Unzureichende wahre Entropie verfügbar. | Dieser Status wird gemeldet, wenn ein Pseudo-Zufallszahlen-Generator zum Generieren von Entropie verwendet wird, anstatt sich auf eine hardwaregenerierte Entropie zu verlassen. Hardwaregenerierte Entropie wird nicht verwendet, da der NSX Manager-Knoten nicht über die erforderliche Hardware-Beschleunigungsunterstützung verfügt, um eine ausreichende wahre Entropie zu erstellen. |
Um diesen Status zu standardisieren, müssen Sie möglicherweise neuere Hardware verwenden, um den NSX Manager-Knoten auszuführen. Die neueste Hardware unterstützt diese Funktion.
Hinweis: Wenn die zugrunde liegende Infrastruktur virtuell ist, erhalten Sie keine wahre Entropie.
|
72201 | Entropiequelle unbekannt. | Dieser Status wird gemeldet, wenn für den angegebenen Knoten kein Entropiestatus verfügbar ist. | Um diesen Status zu standardisieren, stellen Sie sicher, dass der angegebene Knoten ordnungsgemäß funktioniert. |
72301 | Zertifikat ist nicht von der Zertifizierungsstelle signiert. | Dieser Status wird gemeldet, wenn eines der NSX Manager-Zertifikate nicht von der Zertifizierungsstelle signiert ist. NSX Manager verwendet die folgenden Zertifikate:
|
Um diesen Status zu standardisieren, installieren Sie von der Zertifizierungsstelle signierte Zertifikate. Siehe Zertifikate. |