Beletten dat er wordt onderhandeld over Null of Anonymous Ciphers op de ESA en SMA

Downloadopties

  • PDF     (339.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (170.5 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (142.7 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:26 september 2017
Document-id:117864

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe de instellingen van het algoritme van Cisco Email Security Applicatie (ESA) en Cisco Security Management Applicatie (SMA) moeten worden gewijzigd om onderhandelingen over ongeldige of anonieme algoritmen te voorkomen. Dit document is van toepassing op zowel op hardware gebaseerde als op virtuele toestellen.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Cisco ESA
    • Cisco SMA

    Gebruikte componenten

    De informatie in dit document is gebaseerd op alle versies van de Cisco ESA en Cisco SMA.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Beletten dat er wordt onderhandeld over ongeldige of anonieme tekens

    In deze sectie wordt beschreven hoe u onderhandelingen kunt voorkomen voor ongeldige of anonieme algoritmen op de Cisco ESA dat AsyncOS gebruikt voor e-mail security versies 9.1 en hoger, en ook op de Cisco SMA.

    ESA’s die AsyncOS uitvoeren voor e-mail security versie 9.5 of nieuwer

    Met de introductie van AsyncOS voor E-mail security versie 9.5, wordt TLS v1.2 nu ondersteund. De opdrachten die in de vorige paragraaf zijn beschreven, werken nog steeds. U ziet echter de updates voor TLS v1.2 die in de uitvoeringen zijn opgenomen.

    Hier is een voorbeelduitvoer van de CLI:

    > sslconfig

    sslconfig settings:
     GUI HTTPS method: tlsv1/tlsv1.2
     GUI HTTPS ciphers: 
     MEDIUM
     HIGH
     -SSLv2
     -aNULL
     @STRENGTH
     Inbound SMTP method: tlsv1/tlsv1.2
     Inbound SMTP ciphers: 
     MEDIUM
     HIGH
     -SSLv2
     -aNULL
     @STRENGTH
     Outbound SMTP method: tlsv1/tlsv1.2
     Outbound SMTP ciphers: 
     MEDIUM
     HIGH
     -SSLv2
     -aNULL
     @STRENGTH

    Choose the operation you want to perform:
    - GUI - Edit GUI HTTPS ssl settings.
    - INBOUND - Edit Inbound SMTP ssl settings.
    - OUTBOUND - Edit Outbound SMTP ssl settings.
    - VERIFY - Verify and show ssl cipher list.
    []> inbound

    Enter the inbound SMTP ssl method you want to use.
    1. SSL v2 
    2. SSL v3 
    3. TLS v1/TLS v1.2 
    4. SSL v2 and v3
    5. SSL v3 and TLS v1/TLS v1.2
    6. SSL v2, v3 and TLS v1/TLS v1.2
    [3]>

    Als u deze instellingen via de GUI wilt bereiken, navigeert u naar Systeembeheer > SSL-configuratie > Instellingen bewerken...:

    117864-configure-esa-00-00.png

    Tip: raadpleeg de juiste ESA End-User Guide voor versie 9.5 of hoger voor meer informatie.

    ESA’s die AsyncOS uitvoeren voor e-mail security versie 9.1 of hoger

    U kunt de algoritmen die op de ESA worden gebruikt aanpassen met de opdracht slconfig. Om te voorkomen dat de ESA onderhandelingen voor nul of anonieme algoritmen, voert u de opdracht sslconfig in de ESA CLI in en past u deze instellingen toe:

    • Methode voor Inbound Simple Mail Transfer Protocol (SMTP): sslv3tlsv1

    • Inkomende SMTP-algoritmen: MEDIUM:HIGH:-SSLv2:-NULL:@STRENGTH

    • Uitgaande SMTP-methode: sslv3tlsv1

    • Uitgaande SMTP-algoritmen: MEDIUM:HIGH:-SSLv2:-NULL:@STRENGTH

    Hier is een voorbeeldconfiguratie voor inkomende algoritmen:

    CLI: > sslconfig

    sslconfig settings:
      GUI HTTPS method:  sslv3tlsv1
      GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
      Inbound SMTP method:  sslv3tlsv1
      Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
      Outbound SMTP method:  sslv3tlsv1
      Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

    Choose the operation you want to perform:
    - GUI - Edit GUI HTTPS ssl settings.
    - INBOUND - Edit inbound SMTP ssl settings.
    - OUTBOUND - Edit outbound SMTP ssl settings.
    - VERIFY - Verify and show ssl cipher list.
    []> inbound

    Enter the inbound SMTP ssl method you want to use.
    1. SSL v2.
    2. SSL v3
    3. TLS v1
    4. SSL v2 and v3
    5. SSL v3 and TLS v1
    6. SSL v2, v3 and TLS v1
    [5]> 3

    Enter the inbound SMTP ssl cipher you want to use.
    [RC4-SHA:RC4-MD5:ALL]> MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH

    Opmerking: stel de GUI, INKOMEND en UITGAAND in zoals nodig voor elk algoritme.

    Vanaf AsyncOS voor E-mail security versie 8.5 is de opdracht slconfig ook beschikbaar via de GUI. Om deze instellingen vanuit de GUI te bereiken, navigeer je naar Systeembeheer > SSL-configuraties > Instellingen bewerken:

    117864-configure-esa-00-01.png

    Tip: Secure Sockets Laver (SSL) versie 3.0 (RFC-6101) is een verouderd en onveilig protocol. Er is een kwetsbaarheid in SSLv3 CVE-2014-3566 bekend als Padding Oracle On Downgraded Legacy Encryption (PODLE) aanval, die wordt gevolgd door Cisco bug-id CSCur27131. Cisco raadt aan SSLv3 uit te schakelen terwijl u de algoritmen wijzigt, alleen Transport Layer Security (TLS) te gebruiken en optie 3 (TLS v1) te selecteren. Raadpleeg Cisco bug-id CSCur27131 voor volledige informatie.

    SMA’s waarop AsyncOS voor Content Security Management 9.6 of nieuwer wordt uitgevoerd

    Gelijkaardig aan ESA, stel het bevel sslconfig op CLI in werking.

    SMA’s waarop AsyncOS voor Content Security Management 9.5 of hoger wordt uitgevoerd

    De opdracht sslconfig is niet beschikbaar voor oude versies van SMA.

    Opmerking: oudere versies van AsyncOS voor SMA ondersteunden alleen TLS v1.  Upgrade naar 9.6 of nieuwer op uw SMA voor up-to-date SSL beheer.

    U moet deze stappen van de SMA CLI voltooien om de SSL-algoritmen te kunnen wijzigen:

    1. Sla het SMA-configuratiebestand op de lokale computer op.

    2. Open het XML-bestand.

    3. De sectie <ssl> in XML zoeken:

      <ssl>
          <ssl_inbound_method>sslv3tlsv1</ssl_inbound_method>
          <ssl_inbound_ciphers>RC4-SHA:RC4-MD5:ALL</ssl_inbound_ciphers>
          <ssl_outbound_method>sslv3tlsv1</ssl_outbound_method>
          <ssl_outbound_ciphers>RC4-SHA:RC4-MD5:ALL</ssl_outbound_ciphers>
          <ssl_gui_method>sslv3tlsv1</ssl_gui_method>
          <ssl_gui_ciphers>RC4-SHA:RC4-MD5:ALL</ssl_gui_ciphers>
        </ssl>
    4. Wijzig de algoritmen zoals gewenst en sla XML op:

      <ssl>
          <ssl_inbound_method>tlsv1</ssl_inbound_method>
          <ssl_inbound_ciphers>MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH</ssl_inbound_ciphers>
          <ssl_outbound_method>tlsv1</ssl_outbound_method>
          <ssl_outbound_ciphers>MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH</ssl_outbound_ciphers>
          <ssl_gui_method>tlsv1</ssl_gui_method>
          <ssl_gui_ciphers>MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH</ssl_gui_ciphers>
       </ssl>
    5. Laad het nieuwe configuratiebestand op de SMA.

    6. Verzend en voer alle wijzigingen uit.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    27-Jun-2014
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Jai Gill
      Cisco TAC Engineer
    • Robert Sherwin
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten