セキュリティ : Cisco E メール セキュリティ アプライアンス

ESA および SMA のヌルか匿名暗号のためのネゴシエーションを防いで下さい

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料にヌルか匿名暗号のためのネゴシエーションを防ぐために Cisco E メール セキュリティ アプライアンス(ESA)および Ciscoセキュリティ 管理 アプライアンス(SMA)暗号設定を変える方法を記述されています。 この資料はハードウェア基づいたおよびバーチャルによって基づくアプライアンスに適用します。

Jai えらおよびロバート Sherwin によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Cisco ESA

  • Cisco SMA

使用するコンポーネント

この文書に記載されている情報は Cisco ESA および Cisco SMA のすべてのバージョンに基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

ヌルか匿名暗号のためのネゴシエーションを防いで下さい

このセクションは E メール セキュリティ バージョン 9.1 および それ 以降のための AsyncOS を実行するとまた Cisco SMA のヌルか匿名暗号のためのネゴシエーションを記述します Cisco ESA 防ぐ方法を。

E メール セキュリティ バージョン 9.1 または それ 以降のための AsyncOS を実行する ESA

sslconfig コマンドで ESA で使用する暗号を修正できます。 ヌルか匿名暗号のための ESA ネゴシエーションを防ぐために、sslconfig コマンドを ESA CLI に入力し、これらの設定を加えて下さい:

  • 受信 Simple Mail Transfer Protocol (SMTP) 方式: sslv3tlsv1

  • 受信 SMTP 暗号: MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH

  • 送信 SMTP 方式: sslv3tlsv1

  • 送信 SMTP 暗号: MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH

受信暗号のための設定例はここにあります:

CLI: > sslconfig

sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit inbound SMTP ssl settings.
- OUTBOUND - Edit outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> inbound

Enter the inbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the inbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]> MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH

GUI、および発信を各暗号のために必要に応じて受信 設定 して下さい。

E メール セキュリティ バージョン 8.5 のための AsyncOS 現在で、sslconfig コマンドは GUI によってまた利用できます。 GUI からこれらの設定に、ナビゲート システム 管理 > SSL コンフィギュレーション > Edit 設定に達するため:

ヒント: ソケットを保護して下さい Laver (SSL)バージョン 3.0 (RFC-6101)が廃止および不安定なプロトコルである。 Cisco バグ ID CSCur27131 によってトラッキングされる Downgraded レガシー 暗号化(プードル)攻撃の Oracle のパッディングとして知られている SSLv3 CVE-2014-3566 に脆弱性があります。 Cisco は暗号を、使用し Transport Layer Security (TLS だけ)を、『Option』 を選択 する 3 つを変更する間、SSLv3 をディセーブルにすることを推奨します(TLS v1)。 完全な詳細については Cisco バグ ID CSCur27131 を参照して下さい。

E メール セキュリティ バージョン 9.5 または それ 以降のための AsyncOS を実行する ESA

E メール セキュリティ バージョン 9.5 のための AsyncOS の概要によって、TLS v1.2 は現在サポートされます。 前のセクションにまだ説明があるコマンドは動作します; ただし、出力に含まれていた TLS v1.2 については更新が表示されます。

CLI からの出力例はここにあります:

> sslconfig

sslconfig settings:
GUI HTTPS method: tlsv1/tlsv1.2
GUI HTTPS ciphers:
MEDIUM
HIGH
-SSLv2
-aNULL
@STRENGTH
Inbound SMTP method: tlsv1/tlsv1.2
Inbound SMTP ciphers:
MEDIUM
HIGH
-SSLv2
-aNULL
@STRENGTH
Outbound SMTP method: tlsv1/tlsv1.2
Outbound SMTP ciphers:
MEDIUM
HIGH
-SSLv2
-aNULL
@STRENGTH

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> inbound

Enter the inbound SMTP ssl method you want to use.
1. SSL v2
2. SSL v3
3. TLS v1/TLS v1.2
4. SSL v2 and v3
5. SSL v3 and TLS v1/TLS v1.2
6. SSL v2, v3 and TLS v1/TLS v1.2
[3]>

GUI からこれらの設定に、ナビゲート システム 管理 > SSL 設定 > Edit 設定に達するため:

ヒント: 完全情報に関しては、バージョン 9.5 または それ 以降のための適切な ESA エンドユーザ ガイドを参照して下さい。

SMA

sslconfig コマンドは Cisco SMA に利用できません。

: 現時点で、TLS だけ v1 サポートされます; TLS v1.2 は ESA だけでサポートされます。

SSL 暗号を修正するために SMA CLI からのこれらのステップを完了して下さい:

  1. ローカル コンピュータに SMA コンフィギュレーション ファイルを保存して下さい。

  2. XML ファイルを開いて下さい。

  3. XML の <ssl> セクションを捜して下さい:
    <ssl>
        <ssl_inbound_method>sslv3tlsv1</ssl_inbound_method>
        <ssl_inbound_ciphers>RC4-SHA:RC4-MD5:ALL</ssl_inbound_ciphers>
        <ssl_outbound_method>sslv3tlsv1</ssl_outbound_method>
        <ssl_outbound_ciphers>RC4-SHA:RC4-MD5:ALL</ssl_outbound_ciphers>
        <ssl_gui_method>sslv3tlsv1</ssl_gui_method>
        <ssl_gui_ciphers>RC4-SHA:RC4-MD5:ALL</ssl_gui_ciphers>
      </ssl>
  4. 暗号を望まれるように修正し、XML を保存して下さい:
    <ssl>
    <ssl_inbound_method>tlsv1</ssl_inbound_method>
    <ssl_inbound_ciphers>MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH</ssl_inbound_ciphers>
    <ssl_outbound_method>tlsv1</ssl_outbound_method>
    <ssl_outbound_ciphers>MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH</ssl_outbound_ciphers>
    <ssl_gui_method>tlsv1</ssl_gui_method>
    <ssl_gui_ciphers>MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH</ssl_gui_ciphers>
    </ssl>
  5. SMA に新しいコンフィギュレーション ファイルをロードして下さい。

  6. すべての変更を入れ、保存して下さい

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117864