Questa sezione include ulteriori informazioni sul significato del report dello stato di conformità.
| Codice | Descrizione | Origine dello stato della conformità | Correzione |
|---|---|---|---|
| 72001 | La crittografia è disattivata. | Questo stato viene segnalato se la configurazione di un profilo IPSec VPN contiene NO_ENCRYPTION, NO_ENCRYPTION_AUTH_AES_GMAC_128, NO_ENCRYPTION_AUTH_AES_GMAC_192 o NO_ENCRYPTION_AUTH_AES_GMAC_256 in encryption_algorithms.Questo stato influisce sulle configurazioni delle sessioni VPN IPSec che utilizzano le configurazioni non conformi segnalate. |
Per correggere questo stato, aggiungere un profilo IPSec VPN che utilizzi algoritmi di crittografia conformi e usare il profilo in tutte le configurazioni VPN. Vedere Aggiunta di profili IPSec. |
| 72011 | I messaggi BGP con router adiacente ignorano il controllo dell'integrità. Non è definita alcuna autenticazione per i messaggi. | Questo stato viene segnalato se non è configurata alcuna password per i router adiacenti BGP. Questo stato influisce sulla configurazione del router adiacente BGP. |
Per correggere questo stato, configurare una password nel router adiacente BGP e aggiornare la configurazione del gateway di livello 0 in modo che utilizzi la password. Vedere Configurazione di BGP. |
| 72012 | La comunicazione con il router adiacente BGP utilizza un controllo dell'integrità debole. Per i messaggi viene utilizzata l'autenticazione MD5. | Questo stato viene segnalato se per la password del router adiacente BGP viene utilizzata l'autenticazione MD5. Questo stato influisce sulla configurazione del router adiacente BGP. |
Non è disponibile alcuna correzione perché NSX-T Data Center supporta solo l'autenticazione MD5 per BGP. |
| 72021 | Per stabilire una connessione socket sicura, viene utilizzato SSL versione 3. È consigliabile eseguire TLS v 1.1 o versione successiva e disattivare completamente SSLv3 che ha punti deboli del protocollo. | Questo stato viene segnalato se SSL versione 3 è configurato nel profilo SSL del client di bilanciamento del carico, nel profilo SSL del server di bilanciamento del carico o nel monitoraggio HTTPS del bilanciamento del carico.
Questo stato influisce sulle seguenti configurazioni:
|
Per correggere questo stato, configurare un profilo SSL in modo che utilizzi TLS 1.1 o versione successiva e usare questo profilo in tutte le configurazioni del bilanciamento del carico. Vedere Aggiunta di un profilo SSL. |
| 72022 | Per stabilire una connessione socket sicura, viene utilizzato TLS versione 1.0. È consigliabile eseguire TLS v 1.1 o versione successiva e disattivare completamente TLS v1.0 che ha punti deboli del protocollo. | Questo stato viene segnalato se TLS v1.0 è configurato nel profilo SSL del client del bilanciamento del carico, nel profilo SSL del server del bilanciamento del carico o nel monitoraggio HTTPS del bilanciamento del carico.
Questo stato influisce sulle seguenti configurazioni:
|
Per correggere questo stato, configurare un profilo SSL in modo che utilizzi TLS 1.1 o versione successiva e usare questo profilo in tutte le configurazioni del bilanciamento del carico. Vedere Aggiunta di un profilo SSL. |
| 72023 | Viene utilizzato il gruppo Diffie-Hellman debole. | Questo errore viene segnalato se la configurazione di un profilo IPSec VPN o di un profilo IKE VPN include i seguenti gruppi Diffie-Hellman: 2, 5, 14, 15 o 16. I gruppi 2 e 5 sono gruppi Diffie-Hellman deboli. I gruppi 14, 15 e 16 non sono gruppi deboli, ma non sono conformi con FIPS. Questo stato influisce sulle configurazioni delle sessioni VPN IPSec che utilizzano le configurazioni non conformi segnalate. |
Per correggere questo stato, configurare i profili VPN in modo che utilizzino il gruppo Diffie-Hellman 19, 20 o 21. Vedere Aggiunta di profili. |
| 72024 | L'impostazione globale FIPS del bilanciamento del carico è disattivata. | Questo errore viene segnalato se l'impostazione globale FIPS del bilanciamento del carico è disattivata. Questo stato influisce su tutti i servizi di bilanciamento del carico. |
Per correggere questo stato, abilitare FIPS per il bilanciamento del carico. Vedere Configurazione della modalità di conformità FIPS globale per il bilanciamento del carico. |
| 72025 | Quick Assist Technologies (QAT) in esecuzione nel nodo dell'Edge non è conforme a FIPS. | QAT è un set di servizi con accelerazione hardware forniti da Intel per la crittografia e la compressione. | Per disattivare l'utilizzo di QAT, utilizzare la CLI di NSX. Per informazioni dettagliate, vedere "Supporto di Intel QAT per la crittografia in blocco di VPN IPSec" nella Guida all'installazione di NSX-T Data Center. |
| 72200 | L'entropia true disponibile è insufficiente. | Questo stato viene segnalato quando viene utilizzato un generatore di numeri casuali per generare entropia anziché usare l'entropia generata dall'hardware. L'entropia generata dall'hardware non viene utilizzata perché il nodo di NSX Manager non dispone del supporto dell'accelerazione hardware necessario per creare un'entropia true sufficiente. |
Per correggere questo stato, potrebbe essere necessario utilizzare un hardware più recente per eseguire il nodo di NSX Manager. L'hardware più recente supporta questa funzionalità.
Nota: Se l'infrastruttura sottostante è virtuale, non si ottiene l'entropia true.
|
| 72201 | L'origine dell'entropia è sconosciuta. | Questo stato viene segnalato quando non è disponibile alcuno stato dell'entropia per il nodo indicato. | Per correggere questo stato, verificare che il nodo indicato funzioni correttamente. |
| 72301 | Il certificato non è firmato dall'autorità di certificazione. | Questo stato viene segnalato quando uno dei certificati di NSX Manager non è firmato dall'autorità di certificazione. NSX Manager utilizza i certificati seguenti:
|
Per correggere questo stato, installare certificati firmati dall'autorità di certificazione. Vedere Certificati. |
