Vérifiez le chiffrement du service RabbitMQ de dispositif vRealize Automation par rapport à la liste de chiffrements acceptables et désactivez tous ceux qui sont considérés comme faibles.

Pourquoi et quand exécuter cette tâche

Désactivez les suites de chiffrement qui ne proposent pas d'authentification telles que les suites de chiffrement NULL, aNULL ou eNULL. Désactivez également l'échange de clés anonyme Diffie-Hellman (ADH), les chiffrements de niveau exportation (EXP, chiffrements contenant des algorithmes DES), les tailles de clé inférieures à 128 bits pour le chiffrement du trafic de la charge utile, l'utilisation de la fonction MD5 comme mécanisme de hachage pour le trafic de charge utile, les suites de chiffrement IDEA et les suites de chiffrement RC4.

Procédure

  1. Évaluez les suites de chiffrement prises en charge en exécutant la commande # /usr/sbin/rabbitmqctl eval 'ssl:cipher_suites().'.

    Les chiffrements renvoyés dans l'exemple suivant représentent uniquement les chiffrements pris en charge. Le serveur RabbitMQ n'utilise, ni n'annonce ces chiffrements, sauf si la configuration spécifiée dans le fichier rabbitmq.config l'autorise.

    ["ECDHE-ECDSA-AES256-GCM-SHA384","ECDHE-RSA-AES256-GCM-SHA384",
     "ECDHE-ECDSA-AES256-SHA384","ECDHE-RSA-AES256-SHA384",
     "ECDH-ECDSA-AES256-GCM-SHA384","ECDH-RSA-AES256-GCM-SHA384",
     "ECDH-ECDSA-AES256-SHA384","ECDH-RSA-AES256-SHA384",
     "DHE-RSA-AES256-GCM-SHA384","DHE-DSS-AES256-GCM-SHA384",
     "DHE-RSA-AES256-SHA256","DHE-DSS-AES256-SHA256","AES256-GCM-SHA384",
     "AES256-SHA256","ECDHE-ECDSA-AES128-GCM-SHA256",
     "ECDHE-RSA-AES128-GCM-SHA256","ECDHE-ECDSA-AES128-SHA256",
     "ECDHE-RSA-AES128-SHA256","ECDH-ECDSA-AES128-GCM-SHA256",
     "ECDH-RSA-AES128-GCM-SHA256","ECDH-ECDSA-AES128-SHA256",
     "ECDH-RSA-AES128-SHA256","DHE-RSA-AES128-GCM-SHA256",
     "DHE-DSS-AES128-GCM-SHA256","DHE-RSA-AES128-SHA256","DHE-DSS-AES128-SHA256",
     "AES128-GCM-SHA256","AES128-SHA256","ECDHE-ECDSA-AES256-SHA",
     "ECDHE-RSA-AES256-SHA","DHE-RSA-AES256-SHA","DHE-DSS-AES256-SHA",
     "ECDH-ECDSA-AES256-SHA","ECDH-RSA-AES256-SHA","AES256-SHA",
     "ECDHE-ECDSA-DES-CBC3-SHA","ECDHE-RSA-DES-CBC3-SHA","EDH-RSA-DES-CBC3-SHA",
     "EDH-DSS-DES-CBC3-SHA","ECDH-ECDSA-DES-CBC3-SHA","ECDH-RSA-DES-CBC3-SHA",
     "DES-CBC3-SHA","ECDHE-ECDSA-AES128-SHA","ECDHE-RSA-AES128-SHA",
     "DHE-RSA-AES128-SHA","DHE-DSS-AES128-SHA","ECDH-ECDSA-AES128-SHA",
     "ECDH-RSA-AES128-SHA","AES128-SHA"]
    
  2. Sélectionnez les chiffrements pris en charge et conformes aux exigences de sécurité de votre organisation.

    Par exemple, pour autoriser uniquement ECDHE-ECDSA-AES128-GCM-SHA256 & ECDHE-ECDSA-AES256-GCM-SHA384, examinez le fichier /etc/rabbitmq/rabbitmq.config et ajoutez la ligne suivante à ssl et ssl_options.

    {ciphers, [“ECDHE-ECDSA-AES128-GCM-SHA256”, “ECDHE-ECDSA-AES256-GCM-SHA384”]}

  3. Redémarrez le serveur RabbitMQ à l'aide de la commande suivante.

    service rabbitmq-server restart