Compare los cifrados del servicio RabbitMQ de Dispositivo de vRealize Automation con la lista de cifrados aceptados y deshabilite todos los que considere no seguros.

Por qué y cuándo se efectúa esta tarea

Deshabilite los conjuntos de cifrados que no ofrezcan autenticación, como los conjuntos de cifrados NULL, aNULL o eNULL. Deshabilite también el intercambio de claves Diffie-Hellman anónimo (ADH), los cifrados de nivel de exportación (EXP, cifrados que contienen DES), los tamaños de clave inferiores a 128 bits para el cifrado del tráfico de carga, el uso de MD5 como un mecanismo de hash del tráfico de carga, los conjuntos de cifrados IDEA y los conjuntos de cifrados RC4.

Procedimiento

  1. Para analizar los conjuntos de cifrados compatibles, ejecute el comando # /usr/sbin/rabbitmqctl eval 'ssl:cipher_suites().'.

    Los cifrados que se devuelven en el siguiente ejemplo representan solo los cifrados compatibles. El servidor de RabbitMQ no utiliza ni anuncia estos cifrados, a menos que esté configurado para hacerlo en el archivo rabbitmq.config.

    ["ECDHE-ECDSA-AES256-GCM-SHA384","ECDHE-RSA-AES256-GCM-SHA384",
     "ECDHE-ECDSA-AES256-SHA384","ECDHE-RSA-AES256-SHA384",
     "ECDH-ECDSA-AES256-GCM-SHA384","ECDH-RSA-AES256-GCM-SHA384",
     "ECDH-ECDSA-AES256-SHA384","ECDH-RSA-AES256-SHA384",
     "DHE-RSA-AES256-GCM-SHA384","DHE-DSS-AES256-GCM-SHA384",
     "DHE-RSA-AES256-SHA256","DHE-DSS-AES256-SHA256","AES256-GCM-SHA384",
     "AES256-SHA256","ECDHE-ECDSA-AES128-GCM-SHA256",
     "ECDHE-RSA-AES128-GCM-SHA256","ECDHE-ECDSA-AES128-SHA256",
     "ECDHE-RSA-AES128-SHA256","ECDH-ECDSA-AES128-GCM-SHA256",
     "ECDH-RSA-AES128-GCM-SHA256","ECDH-ECDSA-AES128-SHA256",
     "ECDH-RSA-AES128-SHA256","DHE-RSA-AES128-GCM-SHA256",
     "DHE-DSS-AES128-GCM-SHA256","DHE-RSA-AES128-SHA256","DHE-DSS-AES128-SHA256",
     "AES128-GCM-SHA256","AES128-SHA256","ECDHE-ECDSA-AES256-SHA",
     "ECDHE-RSA-AES256-SHA","DHE-RSA-AES256-SHA","DHE-DSS-AES256-SHA",
     "ECDH-ECDSA-AES256-SHA","ECDH-RSA-AES256-SHA","AES256-SHA",
     "ECDHE-ECDSA-DES-CBC3-SHA","ECDHE-RSA-DES-CBC3-SHA","EDH-RSA-DES-CBC3-SHA",
     "EDH-DSS-DES-CBC3-SHA","ECDH-ECDSA-DES-CBC3-SHA","ECDH-RSA-DES-CBC3-SHA",
     "DES-CBC3-SHA","ECDHE-ECDSA-AES128-SHA","ECDHE-RSA-AES128-SHA",
     "DHE-RSA-AES128-SHA","DHE-DSS-AES128-SHA","ECDH-ECDSA-AES128-SHA",
     "ECDH-RSA-AES128-SHA","AES128-SHA"]
    
  2. Seleccione los cifrados compatibles que cumplan con los requisitos de seguridad de su organización.

    Por ejemplo, para permitir solo ECDHE-ECDSA-AES128-GCM-SHA256 & ECDHE-ECDSA-AES256-GCM-SHA384, revise el archivo /etc/rabbitmq/rabbitmq.config y agregue la siguiente línea a ssl y ssl_options.

    {ciphers, [“ECDHE-ECDSA-AES128-GCM-SHA256”, “ECDHE-ECDSA-AES256-GCM-SHA384”]}

  3. Reinicie el servidor de RabbitMQ con el siguiente comando.

    service rabbitmq-server restart