TLS による通信の暗号化
社内の企業ネットワークの脆弱性を修正するために、TLS プロトコルを使用したトラフィックの暗号化を有効にすることができます。管理サーバーで TLS 暗号化プロトコルとサポートされている暗号スイートを有効にすることができます。Kaspersky Security Center Linux は、TLS プロトコルのバージョン 1.0、1.1、1.2 および 1.3 をサポートしています。必要な暗号化プロトコルと暗号化スイートを選択できます。
Kaspersky Security Center Linux は、自己署名証明書を使用します。証明書を自分で用意して使用することもできます。カスペルスキーの専門家は、信頼できる認証機関が発行した証明書を使用することを推奨します。
管理サーバーで許可される暗号化プロトコルと暗号化スイートを設定するには、次の手順に従います:
- コマンドラインを実行し、現在のディレクトリを klscflag ユーティリティのあるディレクトリに変更します。klscflag ユーティリティは、管理サーバーがインストールされているディレクトリにあります。既定のインストールパスは /opt/kaspersky/ksc64/sbin です。
- SrvUseStrictSslSettings フラグを使用し、管理サーバーで許可される暗号化プロトコルと暗号化スイートを指定します。root アカウントのコマンドラインで次のコマンドを実行します:
klscflag -fset -pv ".core/.independent" -s Transport -n SrvUseStrictSslSettings -v <値> -t d
SrvUseStrictSslSettings フラグの <値> パラメータを指定します:
4
—TLS 1.2 および TLS 1.3 プロトコルのみが有効になります。また、TLS_RSA_WITH_AES_256_GCM_SHA384 の暗号スイートも有効になります(この暗号スイートは、Kaspersky Security Center 11 との下位互換性のために必要です)。これは既定値です。TLS 1.2 プロトコルでサポートされる暗号スイート:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-CHACHA20-POLY1305
- AES256-GCM-SHA384(TLS_RSA_WITH_AES_256_GCM_SHA384 を使用した暗号スイート)
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
TLS 1.3 プロトコルでサポートされる暗号スイート:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
- TLS_AES_128_CCM_SHA256
5
—TLS 1.2 および TLS 1.3 プロトコルのみが有効になります。TLS 1.2 および TLS 1.3 プロトコルの場合、以下にリストされている特定の暗号スイートがサポートされています。TLS 1.2 プロトコルでサポートされる暗号スイート:
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-RSA-AES256-SHA384
- ECDHE-RSA-CHACHA20-POLY1305
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES128-SHA256
TLS 1.3 プロトコルでサポートされる暗号スイート:
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
- TLS_AES_128_CCM_SHA256
SrvUseStrictSslSettings フラグのパラメータ値として 0、1、2、または 3 を使用することは推奨しません。これらのパラメータ値は、セキュアでない TLS プロトコルバージョン(TLS 1.0 および TLS 1.1)およびセキュアでない暗号スイートに対応しており、以前の Kaspersky Security Center バージョンとの下位互換性のためにのみ使用されます。
- 次の Kaspersky Security Center Linux サービスを再起動します:
- 管理サーバー
- Web サーバー
- アクティベーションプロキシ
その結果、TLS プロトコルを使用したトラフィック暗号化が有効になります。
KLTR_TLS12_ENABLED フラグおよび KLTR_TLS13_ENABLED フラグを使用して、それぞれ TLS 1.2 および TLS 1.3 プロトコルのサポートを有効にすることができます。これらのフラグは既定で有効になっています。
TLS 1.2 および TLS 1.3 プロトコルのサポートを有効または無効にするには:
- klscflag ユーティリティを実行します。
コマンドラインを実行し、現在のディレクトリを klscflag ユーティリティのあるディレクトリに変更します。klscflag ユーティリティは、管理サーバーがインストールされているディレクトリにあります。既定のインストールパスは /opt/kaspersky/ksc64/sbin です。
- root アカウントのコマンドラインで次のコマンドのいずれかを実行します:
- 次のコマンドを使用して、TLS 1.2 プロトコルのサポートを有効または無効にします:
klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS12_ENABLED -v <値> -t d
- 次のコマンドを使用して、TLS 1.3 プロトコルのサポートを有効または無効にします:
klscflag -fset -pv ".core/.independent" -s Transport -n KLTR_TLS13_ENABLED -v <値> -t d
フラグの <値> パラメータを指定します:
1
—TLS プロトコルのサポートを有効にします。0
—TLS プロトコルのサポートを無効にします。
- 次のコマンドを使用して、TLS 1.2 プロトコルのサポートを有効または無効にします: