Esaminare i pacchetti di crittografia del servizio proxy HA dell'appliance vRealize Automation facendo riferimento all'elenco di pacchetti accettabili e disabilitare tutti quelli considerati deboli.

Informazioni su questa attività

Disabilitare i pacchetti di crittografia che non offrono autenticazione, come i pacchetti di crittografia NULL, ovvero aNULL o eNULL. Disabilitare inoltre lo scambio di chiavi Diffie-Hellman anonimo (ADH), le crittografie a livello di esportazione (EXP, crittografie che contengono DES), le dimensioni di chiave inferiori a 128 bit per la codifica del traffico del payload, l'uso di MD5 come meccanismo di hashing per il traffico del payload, i pacchetti di crittografia IDEA e i pacchetti di crittografia RC4.

Procedura

  1. Esaminare la voce della direttiva di binding relativa ai pacchetti di crittografia del file /etc/haproxy/conf.d/20-vcac.cfg e disabilitare tutti quelli considerati deboli.

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tlsv10

  2. Esaminare la voce della direttiva di binding relativa ai pacchetti di crittografia del file /etc/haproxy/conf.d/30-vro-config.cfg e disabilitare tutti quelli considerati deboli.

    bind :8283 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers TLSv1+HIGH:!aNULL:!eNULL:!3DES:!RC4:!CAMELLIA:!DH:!kECDHE:@STRENGTH no-sslv3 no-tls10