ESA 및 SMA에서 Null 또는 익명 암호에 대한 협상 방지

다운로드 옵션

PDF (370.2 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (163.4 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (134.5 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2017년 9월 26일

문서 ID:117864

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 null 또는 익명 암호에 대한 협상을 방지하기 위해 Cisco ESA(Email Security Appliance) 및 Cisco SMA(Security Management Appliance) 암호 설정을 변경하는 방법에 대해 설명합니다. 이 문서는 하드웨어 기반 어플라이언스와 가상 기반 어플라이언스 모두에 적용됩니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

Cisco ESA
Cisco SMA

사용되는 구성 요소

이 문서의 정보는 모든 버전의 Cisco ESA 및 Cisco SMA를 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

Null 또는 익명 암호에 대한 협상 방지

이 섹션에서는 AsyncOS for Email Security 버전 9.1 이상을 실행하는 Cisco ESA 및 Cisco SMA에서 null 또는 익명 암호에 대한 협상을 방지하는 방법을 설명합니다.

AsyncOS for Email Security 버전 9.5 이상을 실행하는 ESA

AsyncOS for Email Security 버전 9.5가 도입됨에 따라 이제 TLS v1.2가 지원됩니다. 이전 섹션에서 설명한 명령은 계속 작동하지만 출력에 포함된 TLS v1.2에 대한 업데이트가 표시됩니다.

다음은 CLI의 출력 예입니다.

> sslconfig

sslconfig settings:
 GUI HTTPS method: tlsv1/tlsv1.2
 GUI HTTPS ciphers: 
 MEDIUM
 HIGH
 -SSLv2
 -aNULL
 @STRENGTH
 Inbound SMTP method: tlsv1/tlsv1.2
 Inbound SMTP ciphers: 
 MEDIUM
 HIGH
 -SSLv2
 -aNULL
 @STRENGTH
 Outbound SMTP method: tlsv1/tlsv1.2
 Outbound SMTP ciphers: 
 MEDIUM
 HIGH
 -SSLv2
 -aNULL
 @STRENGTH

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> inbound

Enter the inbound SMTP ssl method you want to use.
1. SSL v2 
2. SSL v3 
3. TLS v1/TLS v1.2 
4. SSL v2 and v3
5. SSL v3 and TLS v1/TLS v1.2
6. SSL v2, v3 and TLS v1/TLS v1.2
[3]>

GUI에서 이러한 설정에 도달하려면 System Administration(시스템 관리) > SSL Configuration(SSL 컨피그레이션) > Edit Settings...(설정 수정...:

팁: 자세한 내용은 해당 ESA 최종 사용자 가이드(버전 9.5 이상)를 참조하십시오.

AsyncOS for Email Security 버전 9.1 이상을 실행하는 ESA

sslconfig 명령을 사용하여 ESA에서 사용되는 암호를 수정할 수 있습니다. null 또는 익명 암호에 대한 ESA 협상을 방지하려면 ESA CLI에 sslconfig 명령을 입력하고 다음 설정을 적용합니다.

인바운드 SMTP(Simple Mail Transfer Protocol) 방법: sslv3tlsv1
인바운드 SMTP 암호: MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH
아웃바운드 SMTP 방법: sslv3tlsv1
아웃바운드 SMTP 암호: MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH

다음은 인바운드 암호에 대한 컨피그레이션의 예입니다.

CLI: > sslconfig

sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit inbound SMTP ssl settings.
- OUTBOUND - Edit outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> inbound

Enter the inbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the inbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]> MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH

참고: 각 암호에 필요한 GUI, INBOUND 및 OUTBOUND를 설정합니다.

AsyncOS for Email Security 버전 8.5부터 GUI를 통해 sslconfig 명령도 사용할 수 있습니다. GUI에서 이러한 설정에 도달하려면 System Administration(시스템 관리) > SSL Configurations(SSL 컨피그레이션) > Edit Settings(설정 수정)로 이동합니다.

팁: SSL(Secure Sockets Laver) 버전 3.0(RFC-6101)은 오래되고 안전하지 않은 프로토콜입니다. Cisco 버그 ID CSCur27131에 의해 추적되는 POODLE(Padding Oracle On Downgraded Legacy Encryption) 공격으로 알려진 SSLv3 CVE-2014-3566에는 취약성이 있습니다. 암호를 변경하는 동안 SSLv3을 비활성화하고 TLS(Transport Layer Security)만 사용하고 옵션 3(TLS v1)을 선택하는 것이 좋습니다. 자세한 내용은 Cisco 버그 ID CSCur27131을 참조하십시오.

Content Security Management 9.6 이상에 대해 AsycnOS를 실행하는 SMA

ESA와 마찬가지로 CLI에서 sslconfig 명령을 실행합니다.

AsyncOS for Content Security Management 9.5 이상을 실행하는 SMA

sslconfig 명령은 이전 버전의 SMA에서 사용할 수 없습니다.

참고: 이전 버전의 AsyncOS for SMA는 TLS v1만 지원합니다. 최신 SSL 관리를 위해 SMA에서 9.6 이상으로 업그레이드하십시오.

SSL 암호를 수정하려면 SMA CLI에서 다음 단계를 완료해야 합니다.

SMA 구성 파일을 로컬 컴퓨터에 저장합니다.
XML 파일을 엽니다.

XML에서 <ssl> 섹션을 검색합니다.

<ssl>
    <ssl_inbound_method>sslv3tlsv1</ssl_inbound_method>
    <ssl_inbound_ciphers>RC4-SHA:RC4-MD5:ALL</ssl_inbound_ciphers>
    <ssl_outbound_method>sslv3tlsv1</ssl_outbound_method>
    <ssl_outbound_ciphers>RC4-SHA:RC4-MD5:ALL</ssl_outbound_ciphers>
    <ssl_gui_method>sslv3tlsv1</ssl_gui_method>
    <ssl_gui_ciphers>RC4-SHA:RC4-MD5:ALL</ssl_gui_ciphers>
  </ssl>

원하는 대로 암호를 수정하고 XML을 저장합니다.

<ssl>
    <ssl_inbound_method>tlsv1</ssl_inbound_method>
    <ssl_inbound_ciphers>MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH</ssl_inbound_ciphers>
    <ssl_outbound_method>tlsv1</ssl_outbound_method>
    <ssl_outbound_ciphers>MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH</ssl_outbound_ciphers>
    <ssl_gui_method>tlsv1</ssl_gui_method>
    <ssl_gui_ciphers>MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH</ssl_gui_ciphers>
 </ssl>

새 컨피그레이션 파일을 SMA에 로드합니다.
모든 변경 사항을 제출하고 커밋합니다.

ESA 및 SMA에서 Null 또는 익명 암호에 대한 협상 방지

다운로드 옵션

편견 없는 언어

이 번역에 관하여

목차

소개

사전 요구 사항

요구 사항

사용되는 구성 요소

Null 또는 익명 암호에 대한 협상 방지

AsyncOS for Email Security 버전 9.5 이상을 실행하는 ESA

AsyncOS for Email Security 버전 9.1 이상을 실행하는 ESA

Content Security Management 9.6 이상에 대해 AsycnOS를 실행하는 SMA

AsyncOS for Content Security Management 9.5 이상을 실행하는 SMA

관련 정보

개정 이력

Cisco 엔지니어가 작성

이 문서가 도움이 되셨습니까?

지원 문의

이 문서가 적용되는 제품