セキュリティ : Cisco E メール セキュリティ アプライアンス

ESA に関する FAQ: どのように SSL か TLS と使用する暗号を変えることができますか。

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Cisco E メール セキュリティ アプライアンス(ESA)の Secure Socket Layer (SSL)または Transport Layer Security (TLS)コンフィギュレーションと使用する暗号およびメソッドを変える方法を記述されています。

ジェームス Noad およびロバート Sherwin によって貢献される、Cisco TAC エンジニア。

SSL/TLS と使用されるメソッドおよび暗号を変えて下さい

: SSL/TLS メソッドおよび暗号は会社の特定のセキュリティポリシーおよびユーザー設定に基づいていました設定 する必要があります。 暗号に関するサード パーティ 情報に関しては、推奨されるサーバコンフィギュレーションおよび詳細な情報に関してはセキュリティ/サーバ側 TLS Mozilla 資料を参照して下さい。

E メール セキュリティ用の Cisco AsyncOS を使うと、管理者は GUI 通信のために使用し、着信接続のためにアドバタイズされ、アウトバウンド接続のために要求される暗号およびメソッドのための SSL または TLS プロトコルを設定するために sslconfig コマンドを使用できます:

example.com (SERVICE)> sslconfig

sslconfig settings:
GUI HTTPS method: sslv3tlsv1
GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
Inbound SMTP method: sslv3tlsv1
Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
Outbound SMTP method: sslv3tlsv1
Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- INBOUND - Edit inbound SMTP ssl settings.
- OUTBOUND - Edit outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> inbound

Enter the inbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]>

Enter the inbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]> MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH

sslconfig settings:
GUI HTTPS method: sslv3tlsv1
GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
Inbound SMTP method: sslv3tlsv1
Inbound SMTP ciphers: MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH
Outbound SMTP method: sslv3tlsv1
Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- INBOUND - Edit inbound SMTP ssl settings.
- OUTBOUND - Edit outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]>

SSL 設定への変更を行う場合、ありとあらゆる変更を保存するようにして下さい。

SSL メソッド

E メール セキュリティ バージョン 9.6 および それ 以降のための AsyncOS では TLS v1/TLS v1.2 方式をデフォルトで使用するために、ESA は設定 されます。 この場合、TLSv1.2 は送信および受取側によって使用中なら通信のための参照元を奪取 します。 一致する、少なくとも 1 は一致する暗号を有効に しました TLS 接続を確立するために、両側は少なくとも 1 有効に された 方式がなければなり。

: バージョン 9.6 以前の E メール セキュリティ バージョンのための AsyncOS では、デフォルトに 2 つのメソッドがあります: SSL v3 および TLS v1。 何人かの管理者は(SSL v3 が有効に なれば)最近の脆弱性による SSL v3 をディセーブルにしたいと思うかもしれません。

SSL 暗号

前例にリストされているデフォルト暗号を表示するとき、ワードすべてに先行している 2 つの暗号を示すという原因を理解することは重要です。 すべてはそれに先行する 2 つの暗号が含まれているが、暗号リストの暗号の順序はプリファレンスを判別します。 従って、TLS 接続がなされるとき、クライアントは両側 サポートがリストの外観の順序に基づかせていた最初の暗号を選びます。

: RC4 暗号は ESA でデフォルトで有効に なります。 前例では、メディア: 最高は ESA および SMA Ciscoドキュメントのヌルか匿名暗号のための防ネゴシエーションに基づいています。 詳細についてはとりわけ RC4 に関して、USENIX セキュリティ シンポジウム 2013 から示される WPA 資料の RC4 のセキュリティ/サーバ側 TLS Mozilla 資料を、およびまたセキュリティをおよび TLS 参照して下さい。 RC4 暗号を使用から取除くために、続く例を参照して下さい。

暗号リストの操作によって、選択される暗号に影響を及ぼすことができます。 特定の暗号か暗号範囲をリストできまた暗号ストリングの @STRENGTH オプションの包含との強度によってここに示されているようにそれらを追加注文します:

Enter the inbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]> MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH 

ESA で利用可能である範囲およびが暗号すべてを検討するようにして下さい。 これらを表示するために、確認サブコマンドによって従われた sslconfig コマンドを入力します。 SSL 暗号カテゴリーのためのオプションは LOWメディア高いです、およびすべて:

[]> verify

Enter the ssl cipher you want to verify.
[]> MEDIUM

ADH-RC4-MD5 SSLv3 Kx=DH Au=None Enc=RC4(128) Mac=MD5
IDEA-CBC-SHA SSLv3 Kx=RSA Au=RSA Enc=IDEA(128) Mac=SHA1
RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
RC4-MD5 SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5
IDEA-CBC-MD5 SSLv2 Kx=RSA Au=RSA Enc=IDEA(128) Mac=MD5
RC2-CBC-MD5 SSLv2 Kx=RSA Au=RSA Enc=RC2(128) Mac=MD5
RC4-MD5 SSLv2 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5

また範囲を含むためにこれらを結合できます:

[]> verify

Enter the ssl cipher you want to verify.
[]> MEDIUM:HIGH

ADH-RC4-MD5 SSLv3 Kx=DH Au=None Enc=RC4(128) Mac=MD5
IDEA-CBC-SHA SSLv3 Kx=RSA Au=RSA Enc=IDEA(128) Mac=SHA1
RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
RC4-MD5 SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5
IDEA-CBC-MD5 SSLv2 Kx=RSA Au=RSA Enc=IDEA(128) Mac=MD5
RC2-CBC-MD5 SSLv2 Kx=RSA Au=RSA Enc=RC2(128) Mac=MD5
RC4-MD5 SSLv2 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5
ADH-CAMELLIA256-SHA SSLv3 Kx=DH Au=None Enc=Camellia(256) Mac=SHA1
DHE-RSA-CAMELLIA256-SHA SSLv3 Kx=DH Au=RSA Enc=Camellia(256) Mac=SHA1
DHE-DSS-CAMELLIA256-SHA SSLv3 Kx=DH Au=DSS Enc=Camellia(256) Mac=SHA1
CAMELLIA256-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(256) Mac=SHA1
ADH-CAMELLIA128-SHA SSLv3 Kx=DH Au=None Enc=Camellia(128) Mac=SHA1
DHE-RSA-CAMELLIA128-SHA SSLv3 Kx=DH Au=RSA Enc=Camellia(128) Mac=SHA1
DHE-DSS-CAMELLIA128-SHA SSLv3 Kx=DH Au=DSS Enc=Camellia(128) Mac=SHA1
CAMELLIA128-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(128) Mac=SHA1
ADH-AES256-SHA SSLv3 Kx=DH Au=None Enc=AES(256) Mac=SHA1
DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
DHE-DSS-AES256-SHA SSLv3 Kx=DH Au=DSS Enc=AES(256) Mac=SHA1
AES256-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
ADH-AES128-SHA SSLv3 Kx=DH Au=None Enc=AES(128) Mac=SHA1
DHE-RSA-AES128-SHA SSLv3 Kx=DH Au=RSA Enc=AES(128) Mac=SHA1
DHE-DSS-AES128-SHA SSLv3 Kx=DH Au=DSS Enc=AES(128) Mac=SHA1
AES128-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1
ADH-DES-CBC3-SHA SSLv3 Kx=DH Au=None Enc=3DES(168) Mac=SHA1
EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1
EDH-DSS-DES-CBC3-SHA SSLv3 Kx=DH Au=DSS Enc=3DES(168) Mac=SHA1
DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
DES-CBC3-MD5 SSLv2 Kx=RSA Au=RSA Enc=3DES(168) Mac=MD5

設定されてほしいと思わない利用可能取除かれ、SSL 暗号のうちのどれかが特定の暗号に先行する「-」オプションと。 次に例を示します。

[]> MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH:-EDH-RSA-DES-CBC3-SHA:
-EDH-DSS-DES-CBC3-SHA:-DES-CBC3-SHA

この例の情報はアドバタイズメントからの NULLEDH-RSA-DES-CBC3-SHAEDH-DSS-DES-CBC3-SHA および DES-CBC3-SHA 暗号を否定し、SSL 通信の使用を防ぎます。

またの包含との類似したを「達成できます!」 利用できなくなることを望むこと暗号グループの前の文字かストリング:

[]> MEDIUM:HIGH:-SSLv2:-aNULL:!RC4:@STRENGTH

この例の情報は使用から RC4 暗号すべてを取除きます。 従って、RC4-SHA および RC4-MD5 暗号は SSL コミュニケーションで否定され、アドバタイズされませんでした。

SSL 設定への変更を行う場合、ありとあらゆる変更を保存するようにして下さい。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117855