Compartir vía


Configuración de cifrados SSL

System Center - Operations Manager administra correctamente equipos UNIX y Linux sin cambios en la configuración de cifrado predeterminada de Capa de sockets seguros (SSL). Para la mayoría de las organizaciones, la configuración predeterminada es aceptable, pero debes comprobar las directivas de seguridad de la organización para determinar si se requieren cambios.

Uso de la configuración del cifrado SSL

El agente de UNIX y Linux de Operations Manager se comunica con el servidor de administración de Operations Manager al aceptar solicitudes en el puerto 1270 y suministrar información para responder a esas solicitudes. Las solicitudes se realizan mediante el protocolo WS-Management que se ejecuta en una conexión SSL.

Cuando la conexión SSL se establece por primera vez para cada solicitud, el protocolo SSL estándar negocia el algoritmo de cifrado, conocido como un cifrado para la conexión que se va a usar. Para Operations Manager, el servidor de administración siempre negocia usar un cifrado de alta intensidad para que se use cifrado seguro en la conexión de red entre el servidor de administración y el equipo UNIX o Linux.

La configuración de cifrado SSL predeterminada en el equipo UNIX o Linux se rige por el paquete SSL instalado como parte del sistema operativo. La configuración de cifrado SSL normalmente permite conexiones con varios cifrados, incluidos los cifrados más antiguos de menor intensidad. Aunque Operations Manager no usa estos cifrados de menor intensidad, tener abierto el puerto 1270 con la posibilidad de usar un cifrado de menor intensidad contradice la directiva de seguridad de algunas organizaciones.

Si la configuración predeterminada del cifrado SSL cumple la directiva de seguridad de la organización, no se necesita ninguna acción.

Si la configuración predeterminada del algoritmo de cifrado SSL no cumple la directiva de seguridad de la organización, el agente de UNIX y Linux de Operations Manager ofrece una opción de configuración para especificar los cifrados que SSL acepta en el puerto 1270. Esta opción se puede usar para controlar los cifrados y hacer que la configuración SSL cumpla las directivas. Después de instalar el agente de UNIX y Linux de Operations Manager en todos los equipos administrados, se debe establecer la opción de configuración mediante los procedimientos que se describen en la sección siguiente. Operations Manager no proporciona ninguna manera automática ni integrada de aplicar estas configuraciones; cada organización debe realizar la configuración mediante un mecanismo externo que se adapte a sus necesidades.

Establecimiento de la opción de configuración sslCipherSuite

Los cifrados SSL para el puerto 1270 se controlan mediante el establecimiento de la opción sslciphersuite en el archivo de configuración de OMI, omiserver.conf. El archivo omiserver.conf se encuentra en el directorio /etc/opt/omi/conf/.

El formato de la opción sslciphersuite en este archivo es:

sslciphersuite=<cipher spec>  

Donde <cipher spec> especifica los cifrados permitidos y no permitidos, y el orden en que se eligen los cifrados permitidos.

El formato de <cipher spec> es el mismo que el formato de la opción sslCipherSuite en el servidor HTTP Apache, versión 2.0. Para obtener información detallada, consulta SSLCipherSuite Directive en la documentación de Apache. Toda la información de este sitio lo proporciona el propietario o los usuarios del sitio web. Microsoft no ofrece ninguna garantía, ya sea expresa, implícita o reglamentaria, con respecto a la información de este sitio web.

Después de establecer la opción de configuración sslCipherSuite, debes reiniciar el agente de UNIX y Linux para que el cambio surta efecto. Para reiniciar el agente de UNIX y Linux, ejecuta el siguiente comando, que se encuentra en el directorio /etc/opt/microsoft/scx/bin/tools.

. setup.sh  
scxadmin -restart  

Habilitación o deshabilitación de las versiones del protocolo TLS

Para System Center – Operations Manager, omiserver.conf se encuentra en: /etc/opt/omi/conf/omiserver.conf

Las marcas siguientes deben establecerse para habilitar o deshabilitar las versiones del protocolo TLS. Para más información, consulta Configuring OMI Server.

Propiedad Fin
NoTLSv1_0 Cuando es true, el protocolo TLSv1.0 está deshabilitado.
NoTLSv1_1 Cuando es true y si está disponible en la plataforma, el protocolo TLSv1.1 está deshabilitado.
NoTLSv1_2 Cuando es true y si está disponible en la plataforma, el protocolo TLSv1.2 está deshabilitado.

Habilitación o deshabilitación del protocolo SSLv3

Operations Manager se comunica con agentes de UNIX y Linux a través de HTTPS mediante el cifrado TLS o SSL. El proceso de enlace SSL negocia el cifrado más seguro que está disponible mutuamente en el agente y el servidor de administración. Es posible que quieras prohibir SSLv3 para que un agente que no puede negociar el cifrado TLS no vuelva a SSLv3.

Para System Center – Operations Manager, omiserver.conf se encuentra en: /etc/opt/omi/conf/omiserver.conf

Para deshabilitar SSLv3

Modifica omiserver.conf y establece la línea NoSSLv3 como: NoSSLv3=true

Para habilitar SSLv3

Modifica omiserver.conf y establece la línea NoSSLv3 como: NoSSLv3=false

Nota:

La actualización siguiente es aplicable a Operations Manager 2019 UR3 y versiones posteriores.

Matriz de compatibilidad del conjunto de cifrado

Distribuciones Kernel Versión de OpenSSL Conjunto de cifrado más alto admitido/Conjunto de cifrado preferido Índice de cifrado
Servidor Red Hat Enterprise Linux 7.5 (Maipo) Linux 3.10.0-862.el7.x86_64 OpenSSL 1.0.2k-fips (26 ene 2017) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Red Hat Enterprise Linux 8.3 (Ootpa) Linux 4.18.0-240.el8.x86_64 OpenSSL 1.1.1g FIPS (21 abr 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Servidor Oracle Linux versión 6.10 Linux4.1.12-124.16.4.el6uek.x86_64 OpenSSL 1.0.1e-fips (11 feb 2013) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Servidor Oracle Linux 7.9 Linux 5.4.17-2011.6.2.el7uek.x86_64 OpenSSL 1.0.2k-fips (26 ene 2017) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Servidor Oracle Linux 8.3 Linux 5.4.17-2011.7.4.el8uek.x86_64 OpenSSL 1.1.1g FIPS (21 abr 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Linux 8 (Core) Linux 4.18.0-193.el8.x86_64 OpenSSL 1.1.1c FIPS (28 may 2019) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Ubuntu 16.04.5 LTS Linux 4.4.0-131-generic OpenSSL 1.0.2g (1 mar 2016) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Ubuntu 18.10 Linux 4.18.0-25-generic OpenSSL 1.1.1 (11 sep 2018) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
Ubuntu 20.04 LTS Linux 5.4.0-52-generic OpenSSL 1.1.1f (31 mar 2020) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }
SUSE Linux Enterprise Server 12 SP5 Linux 4.12.14-120-default OpenSSL 1.0.2p-fips (14 ago 2018) TLS_RSA_WITH_AES_256_GCM_SHA384 { 0x00, 0x9D }
Debian GNU/Linux 10 (buster) Linux 4.19.0-13-amd64 OpenSSL 1.1.1d (10 sep 2019) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 { 0xC0, 0x30 }

Cifrados, algoritmos MAC y algoritmos de intercambio de claves

En System Center Operations Manager 2016 y versiones posteriores, el módulo SSH de System Center Operations Manager presenta los siguientes cifrados, algoritmos MAC y algoritmos de intercambio de claves.

Cifrados ofrecidos por el módulo SSH de SCOM:

  • aes256-ctr
  • aes256-cbc
  • aes192-ctr
  • aes192-cbc
  • aes128-ctr
  • aes128-cbc
  • 3des-ctr
  • 3des-cbc

Algoritmos MAC ofrecidos por el módulo SSH de SCOM:

  • hmac-sha10
  • hmac-sha1-96
  • hmac-sha2-256

Algoritmos de Intercambio de claves ofrecidos por el módulo SSH de SCOM:

  • diffie-hellman-group-exchange-sha256
  • diffie-hellman-group-exchange-sha1
  • diffie-hellman-group14-sha1
  • diffie-hellman-group14-sha256
  • diffie-hellman-group1-sha1
  • ecdh-sha2-nistp256
  • ecdh-sha2-nistp384
  • ecdh-sha2-nistp521

Renegociaciones SSL desactivadas en el agente Linux

Para el agente de Linux, se deshabilitan las renegociaciones de SSL.

Las renegociaciones SSL pueden provocar vulnerabilidades en el agente SCOM-Linux, lo que podría facilitar a los atacantes remotos que provoquen una denegación de servicio mediante la realización de muchas renegociaciones dentro de una sola conexión.

El agente de Linux usa OpenSSL de código abierto para fines SSL.

Las versiones siguientes solo se admiten para la renegociación:

  • OpenSSL <= 1.0.2
  • OpenSSL >= 1.1.0h

En el caso de las versiones de OpenSSL 1.10 - 1.1.0g, no se puede deshabilitar la renegociación porque OpenSSL no admite la renegociación.

Pasos siguientes