Introduction
Ce document décrit comment désactiver la sécurité de la couche transport (TLS) 1.1 sur les commutateurs Catalyst 9000 dans les réseaux LAN.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Concepts de commutation LAN
- Navigation dans l'interface de ligne de commande (CLI) de base
- Compréhension des protocoles TLS
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Commutateur Catalyst 9000
- Version du logiciel: 17.6.5
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Ce document fournit un guide technique pour localiser et désactiver TLS 1.1 sur les commutateurs Catalyst 9000.
Problème
Le problème implique la détection de TLS 1.1 sur le commutateur. Il est marqué pour plusieurs analyses de vulnérabilité,
Étape 1 : Vérification de la présence de TLS 1.1
Switch#show ip http server secure status
HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite: rsa-aes-cbc-sha2 rsa-aes-gcm-sha2
dhe-aes-cbc-sha2 dhe-aes-gcm-sha2 ecdhe-rsa-aes-cbc-sha2
ecdhe-rsa-aes-gcm-sha2 ecdhe-ecdsa-aes-gcm-sha2 tls13-aes128-gcm-sha256
tls13-aes256-gcm-sha384 tls13-chacha20-poly1305-sha256
HTTP secure server TLS version: TLSv1.3 TLSv1.2 TLSv1.1 <<< Presense of TLSv1.1 in the HTTP Server
HTTP secure server client authentication: Disabled
HTTP secure server PIV authentication: Disabled
HTTP secure server PIV authorization only: Disabled
HTTP secure server trustpoint: TP-self-signed-3889524895
HTTP secure server peer validation trustpoint:
HTTP secure server ECDHE curve: secp256r1
HTTP secure server active session modules: ALL
Switch#show ip http client secure status
HTTP secure client ciphersuite: rsa-aes-cbc-sha2 rsa-aes-gcm-sha2
dhe-aes-cbc-sha2 dhe-aes-gcm-sha2 ecdhe-rsa-aes-cbc-sha2
ecdhe-rsa-aes-gcm-sha2 ecdhe-ecdsa-aes-gcm-sha2 tls13-aes128-gcm-sha256
tls13-aes256-gcm-sha384 tls13-chacha20-poly1305-sha256
HTTP secure client TLS version: TLSv1.3 TLSv1.2 TLSv1.1 <<< Presence of TLSv1.1 in the HTTP client
HTTP secure client trustpoint:
Solution
Pour désactiver TLS 1.1 sur un commutateur Catalyst 9000, procédez comme suit :
Étape 1 : Désactiver TLS 1.1 pour le serveur HTTP
Switch#configure terminal
Switch(config)#no ip http tls-version TLSv1.1
Étape 2 : Désactiver TLS 1.1 pour le client HTTP
Switch#configure terminal
Switch(config)#no ip http client tls-version TLSv1.1
Ces commandes permettent de s’assurer que TLS 1.1 est désactivé du côté serveur et du côté client du commutateur, atténuant ainsi les problèmes de sécurité associés aux protocoles obsolètes.
Informations connexes