Esaminare i pacchetti di crittografia del servizio proxy HA dell'appliance vRealize Automation facendo riferimento all'elenco di pacchetti accettabili e disabilitare tutti quelli considerati deboli.

Disabilitare i pacchetti di crittografia che non offrono autenticazione, come i pacchetti di crittografia NULL, ovvero aNULL o eNULL. Disabilitare inoltre lo scambio di chiavi Diffie-Hellman anonimo (ADH), le crittografie a livello di esportazione (EXP, crittografie che contengono DES), le dimensioni di chiave inferiori a 128 bit per la codifica del traffico del payload, l'uso di MD5 come meccanismo di hashing per il traffico del payload, i pacchetti di crittografia IDEA e i pacchetti di crittografia RC4.

Procedura

  1. Esaminare la voce della direttiva di binding relativa ai pacchetti di crittografia del file /etc/haproxy/conf.d/20-vcac.cfg e disabilitare tutti quelli considerati deboli.

    bind 0.0.0.0:443 ssl crt /etc/apache2/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11

  2. Esaminare la voce della direttiva di binding relativa ai pacchetti di crittografia del file /etc/haproxy/conf.d/30-vro-config.cfg e disabilitare tutti quelli considerati deboli.

    bind :::8283 v4v6 ssl crt /opt/vmware/etc/lighttpd/server.pem ciphers !aNULL:!eNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES:@STRENGTH no-sslv3 no-tlsv10 no-tlsv11