En el sector de la ciberseguridad no hay tiempo para aburrirse y nunca ha habido un mejor momento para aceptar esta idea como una ventaja y un catalizador de la actividad empresarial.
Si ejecuta un análisis de vulnerabilidades o detecta de otro modo que la seguridad de la capa de transporte (TLS) 1.0 esté activada en el servidor de ePO, le recomendamos que amplíe a la actualización de ePO 5.10 11 o posterior. Este Consejo se aplica a las siguientes marcas habituales en Nessus o Qualsys :
Qualys QID-38628: SSL/TLS Server supports TLSv1.0.
Nessus PluginID 104743: TLS Version 1.0 Protocol Detection
Lo mismo ocurre si se ejecuta un análisis o se detecta de otro modo que ePO utiliza cifrados de claves estáticas no seguras.
A partir de la actualización de ePO 5.10 11, la versión 1.0 de TLS (RFC 2246) y 1.1 (RFC 4346) está desactivada de forma predeterminada en ePO. Algunos de los cifrados de claves estáticas RSA se eliminan de la lista de cifrado. La comunicación entre la Controlador de agentes y MA 4.8 requiere TLS 1.0 , por lo que la desactivación de TLS 1.0 rompe la capacidad del mA 4.8 para comunicarse con el servicio de Apache en el servidor de ePO y controladores de agentes.
MA 5.5.x y 5.0.x negocia un cifrado de claves estáticas en su Protocolo de enlace TLS con el servicio Tomcat de ePO en el puerto 8443. Se puede realizar una acción manual para aprovisionar el agente mediante la interfaz de línea de maconfig comandos (CLI). La acción manual solo afecta al proceso de aprovisionamiento manual y no se aplica a la comunicación agente-servidor de las versiones de los agentes.
Para aprovisionar correctamente MA 5.5.x o ma 5.0.x manualmente mediante el maconfig CLI , debe editar el server.xml utilizado por Tomcat y agregar otro cifrado. Si desea permitir que MA 4.8 se comunique con el servicio de Apache de un controlador de agentes, debe activar TLS 1.0 y dos cifrados de claves estáticas.
MA 5.5.x y Ma 5.0.x también se han caducado, excepto MA 5.0.3 , que solo es compatible con los POSReady 2009 sistemas operativos, Windows XP incrustado y Windows punto de servicio incrustado (WEPOS). Consulte el artículo relacionado: KB91134-fin de ciclo de vida para McAfee Agent 5.5.x , 5.0.x.
Los agentes de DXL instalados mediante OVA o ISO, también conocidos como Appliance de DXL Broker, cuentan con MA 5.5.1 y se ven afectados por este problema.
Si tiene un Appliance de DXL Broker que se comunica con ePO, puede actualizar el agente en el appliance mediante una tarea de despliegue de productos estándar. Para obtener más información, consulte la guía de instalación de McAfee Agent para obtener orientación.
Lo siguiente se aplica si está configurando un nuevo Appliance de DXL broker o si no ha suministrado correctamente el agente en su Appliance existente de DXL Broker: debe seguir las instrucciones que se indican en la sección siguiente titulada Seleccioneción de ma 5.0.x - 5.5.x para que se aprovisione con la actualización de ePO 5.10 11 y posteriores. En esta sección se utiliza la interfaz de línea de comandos de maconfig para aprovisionar el agente en el Appliance DXL Broker.
MA 5.5.0 y posteriores se pueden aprovisionar mediante la CLI y comunicarse mediante TLS 1.2. lo hace con las suites de cifrado revisadas incluidas en la actualización de ePO 5.10 11.
Siga las instrucciones de la sección correspondiente a continuación:
Permita que los agentes heredados funcionen con la actualización de ePO 5.10 11 o posterior. O
Si necesita desactivar TLS 1.0 y 1.1 versiones anteriores de ePO, pero no puede ampliar a la actualización de ePO 5.10 11 o posterior.
Contenido:
Haga clic para expandir la sección que desee ver:
Estas instrucciones se deben realizar en el servidor de ePO y en todos los controladores de agentes remotos:
Inicie sesión en el servidor de ePO .
Vaya a una de las siguientes carpetas:
32 bits: C:\Program Files\McAfee\ePolicy Orchestrator\Apache2\conf\
O bien
64 bits: C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\
Edite el archivo ssl.conf y cambie la línea:
De: SSLProtocol +TLSv1.2
Para: SSLProtocol all -SSLv3 -SSLv2
SSLCipherSuiteBusque en el ssl.conf archivo y sustituya toda la línea por el siguiente contenido:
importante: no incluya ningún salto de página o carácter adicional.
Guarde los cambios en el archivo SSL. conf .
Reinicie el Controlador de agentes (servicio de Apache).
Estas instrucciones deben seguirse en el servidor de ePO; no se aplican a los controladores de agentes:
Vaya a: <ePO_installation_folder>\Server\conf
Cree una copia de seguridad del archivo de archivo server.xml .
Edite el archivo server.xml y agregue el TLS_RSA_WITH_AES_128_CBC_SHA cifrado a la lista de cifrados permitidos por el elemento conector correspondiente al puerto que utilice para acceder a la consola de ePO. De forma predeterminada, el puerto es 8443.
Abra el archivo server.xml .
En el elemento de conector correspondiente al puerto 8443, localice la sección ciphers= .
Agregue TLS_RSA_WITH_AES_128_CBC_SHA a la lista, separándolos de los demás cifrados de la lista con una coma y un espacio.
A continuación se muestra un ejemplo del aspecto que debe tener el conjunto completo de cifrados de ese elemento XML tras el cambio en un servidor de actualización de ePO 5.10 11:
Reinicie el servicio servidor de aplicaciones de ePO:
Pulse la tecla Windows + R.
Escriba services.msc en el campo y pulse Intro.
Haga clic con el botón derecho en el servicio ePO a continuación y seleccione reiniciar:
McAfee ePolicy Orchestrator 5.#.# Application Server
Cierre la ventana servicios.
La siguiente solución temporal obliga a McAfee Agent 5.x los agentes a comunicarse únicamente mediante TLS 1.2 con controladores de agentes (local y remota).
Edite el archivo SSL. conf del archivo y cambie la línea:
De: SSLProtocol all -SSLv3 -SSLv2
Para: SSLProtocol +TLSv1.2
Reinicie el Controlador de agentes (servicio de Apache):
Pulse la tecla Windows + R.
Escriba services.msc en el campo y pulse Intro.
Haga clic con el botón derecho en el servicio ePO a continuación y seleccione reiniciar:
McAfee ePolicy Orchestrator 5.#.# Server
Cierre la ventana servicios.
Controlador de agentes remoto:desactivar TLS 1.0 y 1.1 Tomcat
Siga las instrucciones que se indican a continuación para desactivar TLS 1.0 o TLS 1.1 para el servicio servidor de aplicaciones de ePO (Tomcat). Este servicio escucha en el puerto 8443 o 8444 de forma predeterminada.
Inicie sesión en el Controlador de agentes remoto.
Vaya a una de las siguientes carpetas Controlador de agentes:
De: SSLProtocol all -SSLv3 -SSLv2
Para: SSLProtocol +TLSv1.2
Reinicie el Controlador de agentes (servicio de Apache).
Vaya a: <ePO_installation_folder>\Server\conf
Cree una copia de seguridad del archivo server.xml .
Edite el archivo server.xml y actualice los sslProtocol atributos y sslEnabledProtocols para los elementos de conector especificados:
Abra el archivo server.xml .
Dentro de cada elemento de conector , modifique los sslProtocol atributos y sslEnabledProtocols como se muestra en el ejemplo siguiente. Nota: Realice el paso para ambos puertos de escucha de Tomcat 8443 y 8444.
Para desactivar solo TLS 1.0 y dejar activado TLS 1.1 , la entrada tendría el sslEnabledProtocols aspecto siguiente: sslEnabledProtocols="TLSv1.1,TLSv1.2"
Si el sslEnabledProtocols atributo no existe, agréguelo inmediatamente a continuación del sslProtocol atributo.
Reinicie el servicio servidor de aplicaciones de ePO :
Pulse la tecla Windows + R.
Escriba services.msc en el campo y pulse Intro.
Haga clic con el botón derecho en el servicio ePO a continuación y seleccione reiniciar:
McAfee ePolicy Orchestrator 5.#.# Application Server
Cierre la ventana servicios.
Descargo de responsabilidad
El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.