تعطيل TLS 1.1 على محولات Catalyst 9000 Switches

المقدمة

يصف هذا وثيقة كيف أن يعجز نقل طبقة أمن (TLS) 1.1 على مادة حفازة 9000 مفتاح في شبكة LAN.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• مفاهيم تحويل شبكة LAN
• تنقل واجهة سطر الأوامر الأساسية (CLI)
• فهم بروتوكولات TLS

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• المحول Catalyst 9000 Series Switch
• إصدار البرامج: 17.6.5

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يزود هذا وثيقة دليل فني ل تحديد مكان وتعطيل TLS 1.1 على مادة حفازة 9000 مفتاح.

المشكلة

تتضمن المشكلة TLS 1.1 يكون كشفت على المفتاح. تم وضع علامة بهذا الإجراء لعدة عمليات مسح لمكامن الضعف،

الخطوة 1: التحقق من وجود TLS 1.1

Switch#show ip http server secure status
HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite:  rsa-aes-cbc-sha2 rsa-aes-gcm-sha2
        dhe-aes-cbc-sha2 dhe-aes-gcm-sha2 ecdhe-rsa-aes-cbc-sha2
        ecdhe-rsa-aes-gcm-sha2 ecdhe-ecdsa-aes-gcm-sha2 tls13-aes128-gcm-sha256
        tls13-aes256-gcm-sha384 tls13-chacha20-poly1305-sha256
HTTP secure server TLS version:  TLSv1.3 TLSv1.2 TLSv1.1                    <<< Presense of TLSv1.1 in the HTTP Server
HTTP secure server client authentication: Disabled
HTTP secure server PIV authentication: Disabled
HTTP secure server PIV authorization only: Disabled
HTTP secure server trustpoint: TP-self-signed-3889524895
HTTP secure server peer validation trustpoint:
HTTP secure server ECDHE curve: secp256r1
HTTP secure server active session modules: ALL

Switch#show ip http client secure status
HTTP secure client ciphersuite:  rsa-aes-cbc-sha2 rsa-aes-gcm-sha2
        dhe-aes-cbc-sha2 dhe-aes-gcm-sha2 ecdhe-rsa-aes-cbc-sha2
        ecdhe-rsa-aes-gcm-sha2 ecdhe-ecdsa-aes-gcm-sha2 tls13-aes128-gcm-sha256
        tls13-aes256-gcm-sha384 tls13-chacha20-poly1305-sha256
HTTP secure client TLS version:  TLSv1.3 TLSv1.2 TLSv1.1                   <<< Presence of TLSv1.1 in the HTTP client  
HTTP secure client trustpoint:

الحل

اتخذت هذا steps أن يعجز TLS 1.1 على مادة حفازة 9000 مفتاح:

الخطوة 1: تعطيل TLS 1.1 لخادم HTTP

Switch#configure terminal
Switch(config)#no ip http tls-version TLSv1.1

الخطوة 2: تعطيل TLS 1.1 لعميل HTTP

Switch#configure terminal
Switch(config)#no ip http client tls-version TLSv1.1

تضمن هذه الأوامر تعطيل TLS 1.1 على كل من جانب الخادم والعميل للمحول، مما يخفف أي مشكلات أمان مرتبطة بالبروتوكولات القديمة.

معلومات ذات صلة

• الدعم الفني والتنزيلات من Cisco