韓誥傭痔

Table of Contents

17. Xifrat

17. Xifrat

Vista general

韓誥傭痔 admet comunicacions xifrades entre components 韓誥傭痔 emprant el protocol Transport Layer Security (TLS) v.1.2 i 1.3 (segons la biblioteca de xifrat). S'admet tant el xifrat basat en certificats com el basat en claus precompartides.

El xifrat es pot configurar per a connexions:

Entre el servidor 韓誥傭痔, el proxy 韓誥傭痔, l'agent 韓誥傭痔, servidor web 韓誥傭痔, les utilitats zabbix_sender i zabbix_get
A la base de dades de 韓誥傭痔 des del frontend i del servidor/proxy de 韓誥傭痔

El xifrat 谷s opcional i configurable per a components individuals:

Alguns proxys i agents poden estar configurats per emprar xifrat basat en certificats amb el servidor, mentre que altres poden emprar el xifrat basat en claus compartides pr豕viament i d'altres continuen amb comunicacions sense xifrar (com abans)
El servidor (proxy) pot emprar diferents configuracions de xifrat per a diferents equips

Els dimonis 韓誥傭痔 empren un port d'escolta per a connexions entrants xifrades i no xifrades. L'afegit de xifrat no requereix obrir nous ports als tallafocs.

Limitacions

Les claus privades s'emmagatzemen en text sense format en fitxers llegibles pels components 韓誥傭痔 durant l'inici
Les claus precompartides s'introdueixen a la interf赤cie 韓誥傭痔 i s'emmagatzemen a la base de dades de 韓誥傭痔 en text sense format
El xifrat integrat no protegeix les comunicacions: - Entre el servidor web que executa la interf赤cie 韓誥傭痔 i el navegador web de l'usuari - Entre la interf赤cie 韓誥傭痔 i el servidor 韓誥傭痔
Actualment, totes les connexions xifrades s'obren amb una verificaci車 TLS completa, no s'implementa cap emmagatzematge en mem辰ria cau de sessi車 ni tiquets
L'addici車 de xifrat augmenta la verificaci車 de l'element i el temps d'acci車, depenent de la lat豕ncia de la xarxa: - Per exemple, si l'endarrerimet del paquet 谷s de 100 ms, obrir una connexi車 TCP i enviar una petici車 sense xifrar triga uns 200 ms. Amb el xifrat, s'afegeixen aproximadament 1000 ms per establir la connexi車 TLS; - Pot ser que sigui necessari augmentar els temps d'espera, en cas contrari, alguns elements i accions que executen scripts remots als agents poden funcionar amb connexions sense xifrar, per辰 fallar amb un temps d'espera xifrat.
El xifrat no 谷s compatible amb descoberta de xarxa. Les comprovacions de l'agent 韓誥傭痔 fetes per la descoberta de la xarxa no es xifraran i si l'agent 韓誥傭痔谷s configurat per rebutjar connexions no xifrades, aquestes comprovacions fallaran.

Compilar韓誥傭痔 amb suport de xifrat

Per donar suport al xifrat, 韓誥傭痔 s'ha de compilar i enlla?ar amb una de les biblioteques de xifrat admeses:

GnuTLS - a partir de la versi車 3.1.18
OpenSSL - versions 1.0.1, 1.0.2, 1.1.0, 1.1.1, 3.0.x. Tingueu en compte que 3.0.x 谷s compatible des de 韓誥傭痔 6.0.4.
LibreSSL - provat amb les versions 2.7.4, 2.8.2:
- LibreSSL 2.6.x no 谷s compatible
- LibreSSL 谷s compatible com a substitut compatible d'OpenSSL; les noves funcions de l'API tls_*() espec赤fiques de LibreSSL no s'empren. Els components 韓誥傭痔 compilats amb LibreSSL no podran emprar PSK, nom谷s es poden emprar certificats.

Podeu trobar m谷s informaci車 sblre com configurar SSL per la interf赤cie de 韓誥傭痔 seguint aquestes bones pr角ctiques.

La biblioteca es tria especificant l'opci車 corresponent per "configurar" l'script:

--with-gnutls[=DIR]
--with-openssl[=DIR] (tamb谷 s'utilitza per a LibreSSL)

Per exemple, per configurar les fonts del servidor i de l'agent amb OpenSSL, podeu emprar alguna cosa com:

 ./configure --enable-server --enable-agent --with-mysql --enable-ipv6 --with-net-snmp --with-libcurl --with-libxml2 --with-openssl

Es poden compilar diferents components de 韓誥傭痔 amb diferents biblioteques de xifrat (per exemple, servidor amb OpenSSL, agent amb GnuTLS).

Si teniu previst emprar claus precompartides (PSK), penseu a emprar biblioteques GnuTLS o OpenSSL 1.1.0 (o m谷s recent) als components 韓誥傭痔 mitjan?ant PSK. Les biblioteques GnuTLS i OpenSSL 1.1.0 admeten suites de xifrat PSK amb . Les versions anteriors de la biblioteca OpenSSL (1.0.1, 1.0.2c) tamb谷 admeten PSK, per辰 les suites de xifrat PSK disponibles no proporcionen Perfect Forward Secrecy.

Gesti車 del xifrat de les connexions

Les connexions a 韓誥傭痔 poden emprar:

S'empren dos par角metres importants per especificar el xifrat entre components 韓誥傭痔:

TLSConnect: especifica el xifrat que s'emprar角 per a les connexions sortints (sense xifrar, PSK o certificat)
TLSAccept: especifica quins tipus de connexi車 es permeten per a connexions entrants (sense xifrar, PSK o certificat). Es poden especificar un o m谷s valors.

TLSConnect s'empra als fitxers de configuraci車 per al proxy 韓誥傭痔 (en mode actiu, nom谷s especifica les connexions del servidor) i l'agent 韓誥傭痔 (per a comprovacions actives). A la interf赤cie de 韓誥傭痔, l'equivalent de TLSConnect 谷s el camp Connexions a l'equip a 唬棗紳款勳眶喝娶硃釵勳車 ↙ Equips ↙ <un equip> ↙ Pestanya Xifrat i el camp Connexions al proxy a la pestanya Administraci車 ↙ Proxys ↙ <un proxy> ↙ Xifrat . Si el tipus de xifrat configurat per a la connexi車 falla, no es provar角 cap altre tipus de xifrat.

TLSAccept s'empra als fitxers de configuraci車 per al proxy 韓誥傭痔 (en mode passiu, nom谷s especifica connexions des del servidor) i l'agent 韓誥傭痔 (per a comprovacions passives). A la interf赤cie de 韓誥傭痔, l'equivalent de TLSAccept 谷s el camp Connexions des de l'equip a la pestanya 唬棗紳款勳眶喝娶硃釵勳車 ↙ Equips ↙ <un equip> ↙ Xifrat i el camp Connexions des del proxy a la pestanya Administraci車 ↙ Proxys ↙ <un proxy> ↙ Xifrat .

Normalment, nom谷s configureu un tipus de xifrat per a connexions entrants. Per辰谷s possible que vulgueu canviar el tipus de xifrat, per exemple, de no xifrat a basat en certificats amb un temps d'inactivitat i una capacitat de retroc谷s m赤nims. Per aconseguir-ho:

Establiu TLSAccept=unencrypted,cert al fitxer de configuraci車 de l'agent i reinicieu l'agent 韓誥傭痔
Proveu la connexi車 amb zabbix_get amb l'agent mitjan?ant el certificat. Si funciona, podeu tornar a configurar el xifrat per a aquest agent a la interf赤cie 韓誥傭痔 a la pestanya 唬棗紳款勳眶喝娶硃釵勳車 ↙ Equips ↙ <un equip> ↙ Xifrat configurant Connexions a l'equip a "Certificat".
Quan s'actualitza la mem辰ria cau de configuraci車 del servidor (i la configuraci車 del proxy s'actualitza si l'equip 谷s monitorat per el proxy), les connexions a aquest agent es xifraran
Si tot funciona com s'esperava, podeu establir TLSAccept=cert al fitxer de configuraci車 de l'agent i reiniciar l'agent 韓誥傭痔. Ara l'agent nom谷s admetr角 connexions basades en certificats xifrats. Les connexions no xifrades i basades en PSK seran rebutjades.

De la mateixa manera, funciona al servidor i al proxy. Si a la interf赤cie 韓誥傭痔, a la configuraci車 de l'equip, Connexions des de l'equip s'estableix a "Certificat", nom谷s les connexions xifrades basades en certificats seran acceptades per l'agent (comprovacions actives) i el _sender de zabbix (elements trapper).

El m谷s probable 谷s que configureu les connexions entrants i sortints per emprar el mateix tipus de xifrat o cap xifrat. Per辰 t豕cnicament 谷s possible configurar-ho de manera asim豕trica, com ara xifrat basat en certificats per a connexions entrants i encriptaci車 basat en PSK per a connexions sortints.

La configuraci車 de xifrat per a cada equip es mostra a la interf赤cie 韓誥傭痔, a 唬棗紳款勳眶喝娶硃釵勳車 ↙ Equips a la columna Xifrat de l'agent. Per exemple:

|Exemple|Connexions a l'equip|Connexions permeses des de l'equip|Connexions no permeses des de l'equip| |-------|--------------------|-----|---------------- ----| ||No xifrat|No xifrat|Xifrat, certificat i xifrat basat en PSK| ||Xifrat, basat en certificats|Xifrat, basat en certificats|No xifrat i xifrat amb PSK| ||Xifrat, basat en PSK|Xifrat, basat en PSK|Xifrat sense xifrar i xifrat en certificat| ||Xifrat, basat en PSK|Sense xifrat i xifrat amb PSK|Xifrat basat en certificat| ||Xifrat, basat en certificat|Sense xifrat, PSK o xifrat basat en certificat|-|

Les connexions no s車n xifrades per defecte. El xifrat s'ha de configurar per a cada equip i proxy individualment.

zabbix_get i zabbix_sender amb xifrat

Veieu els manuals de zabbix_get et zabbix_sender per emprar el xifrat.

Suite de xifrat

Les suites de xifrat per defecte es configuren internament quan s'inicia 韓誥傭痔 i abans de 韓誥傭痔 4.0.19, 4.4.7 no es poden configurar per l'usuari.

Des de 韓誥傭痔 4.0.19, les suites de xifrat configurades per l'usuari 4.4.7 tamb谷 s車n compatibles amb GnuTLS i OpenSSL. Els usuaris poden configurar suites de xifrat segons les seves pol赤tiques de seguretat. L'迆s d'aquesta caracter赤stica 谷s opcional (les suites de xifrat predeterminades integrades encara funcionen).

Per a les biblioteques de xifrat compilades amb la configuraci車 predeterminada, les regles integrades de 韓誥傭痔 solen donar lloc a les seg邦ents suites de xifrat (en ordre de major a menor preced豕ncia):

Biblioteca	Certificate Cipher Suite	PSK Cipher Suite
GnuTLS 3.1.18	TLS_ECDHE_RSA_AES_128_GCM_SHA256 TLS_ECDHE_RSA_AES_128_CBC_SHA256 TLS_ECDHE_RSA_AES_128_CBC_SHA1 TLS_RSA_AES_128_GCM_SHA256 TLS_RSA_AES_128_CBC_SHA256 TLS_RSA_AES_128_CBC_SHA1	TLS_ECDHE_PSK_AES_128_CBC_SHA256 TLS_ECDHE_PSK_AES_128_CBC_SHA1 TLS_PSK_AES_128_GCM_SHA256 TLS_PSK_AES_128_CBC_SHA256 TLS_PSK_AES_128_CBC_SHA1
OpenSSL 1.0.2c	ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-SHA256 AES128-SHA	PSK-AES128-CBC-SHA
OpenSSL 1.1.0	ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA	ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
OpenSSL 1.1.1d	TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA	TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Suites de xifrat configurades per l'usuari

Els criteris de selecci車 de la suite de xifrat integrada es poden substituir per les suites de xifrat configurades per l'usuari.

Les suites de xifrat configurades per l'usuari 谷s una caracter赤stica per als usuaris avan?ats que entenen les suites de xifrat TLS, la seva seguretat i les conseq邦豕ncies dels errors, i que se senten c辰modes amb la resoluci車 de problemes de TLS.

Els criteris de selecci車 de la suite de xifrat integrat es poden substituir mitjan?ant la configuraci車 seg邦ent:

Substitueix l'角mbit	捩硃娶角鳥梗喧娶梗	Valor	嗨梗莽釵娶勳梯釵勳車
Selecci車 de la suite de xifrat per als certificats OpenSSL 1.1.1	TLSCipherCert13	v角lid per al protocol TLS 1.3 (els seus valors ??es passen a la funci車 OpenSSL `SSL\_CTX\_set\_ciphersuites()`).	Criteris de selecci車 del conjunt de xifrat basat en certificats per a TLS 1.3 Nom谷s OpenSSL 1.1.1 o versi車 posterior.
	TLSCipherCert	OpenSSL v角lid per a TLS 1.2 o GnuTLS v角lid. Els seus valors es passen a les funcions `SSL\_CTX\_set\_cipher\_list()` o `gnutls\_priority\_init()`, respectivament.	Criteris de selecci車 de la suite de xifrat basat en certificats per a TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Selecci車 de la suite de xifrat per a PSK	TLSCipherPSK13	OpenSSL 1.1.1 v角lid per al protocol TLS 1.3 (els seus valors ??es passen a la funci車 OpenSSL `SSL\_CTX\_set\_ciphersuites()`).	Criteris de selecci車 de paquets de xifrat basats en PSK per a TLS 1.3 Nom谷s OpenSSL 1.1.1 o posterior.
Selecci車 de la suite de xifrat per a PSK	TLSCipherPSK	OpenSSL v角lid per a TLS 1.2 o GnuTLS v角lid. Els seus valors es passen a les funcions `SSL\_CTX\_set\_cipher\_list()` o `gnutls\_priority\_init()`, respectivament.	Criteris de selecci車 del conjunt de xifrat basat en PSK per a TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)
Llista combinada de conjunts de xifrat per a certificat i PSK	TLSCipherAll13	OpenSSL 1.1.1 v角lid per al protocol TLS 1.3 (els seus valors es passen a la funci車 OpenSSL `SSL\_CTX\_set\_ciphersuites()`).	Criteris de selecci車 de Ciphersuite per a TLS 1.3 Nom谷s OpenSSL 1.1.1 o posterior.
	TLSCipherAll	OpenSSL v角lid per a TLS 1.2 o GnuTLS v角lid. Els seus valors es passen respectivament a les funcions `SSL\_CTX\_set\_cipher\_list()` o `gnutls\_priority\_init()`.	Criteris de selecci車 de Ciphersuite per a TLS 1.2/1.3 (GnuTLS), TLS 1.2 (OpenSSL)

Per anul﹞lar la selecci車 de la suite de xifrat a les utilitats zabbix_get i zabbix_sender, empreu els par角metres de la l赤nia d'ordres:

--tls-cipher13
--tls-cipher

Els nous par角metres s車n opcionals. Si no s'especifica cap par角metre, s'empra el valor per defecte intern. Si es defineix un par角metre, no pot 谷sser buit.

Si no s'estableix un valor TLSCipher* a la biblioteca de xifrat, el servidor, el proxy o l'agent no s'inicien i es registra un error.

?s important entendre quan cada par角metre 谷s aplicable.

Connexions sortints

El cas m谷s senzill 谷s per a les connexions sortints:

Per a connexions sortints amb certificat: empreu TLSCipherCert13 o TLSCipherCert
Per a connexions de sortida amb PSK: empreu TLSCipherPSK13 o TLSCipherPSK
En el cas de les utilitats zabbix_get i zabbix_sender, es poden emprar els par角metres de l赤nia d'ordres --tls-cipher13 i --tls-cipher (el xifrat s'especifica sense ambig邦itats amb un --tls-connect)

Connexions entrants

?s una mica m谷s complicat amb les connexions entrants perqu豕 les regles s車n espec赤fiques dels components i de la configuraci車.

Per a l'agent 韓誥傭痔:

唬棗紳款勳眶喝娶硃釵勳車 de connexi車 de l'agent	唬棗紳款勳眶喝娶硃釵勳車 de xifrat
TLSConect=cert	TLSCipherCert,TLSCipherCert13
TLSConect=psk	TLSCipherPSK,TLSCipherPSK13
TLSAccept=cert	TLSCipherCert, TLSCipherCert13
TLSAccept=psk	TLSCipherPSK, TLSCipherPSK13
TLSAccept=cert,psk	TLSCipherAll,TLSCipherAll13

Per al servidor i proxy 韓誥傭痔:

唬棗紳款勳眶喝娶硃釵勳車 de connexi車	唬棗紳款勳眶喝娶硃釵勳車 de xifrat
Connexions sortints amb PSK	TLSCipherPSK, TLSCipherPSK13
Connexions entrants amb certificats	TLSCipherAll, TLSCipherAll13
Connexions entrants amb PSK si el servidor no t谷 certificat	TLSCipherPSK, TLSCipherPSK13
Connexions entrants amb PSK si el servidor t谷 un certificat	TLSCipherAll, TLSCipherAll13

Alguns patrons es poden veure a les dues taules anteriors:

TLSCipherAll i TLSCipherAll13 nom谷s es poden especificar si s'empra una llista combinada de conjunts de xifrat i basats en PSK. Hi ha dos casos en qu豕 aix辰 passa: servidor (proxy) amb un certificat configurat (les suites de xifrat PSK sempre es configuren al servidor, i al proxy si la biblioteca de xifrat admet PSK), agent configurat per acceptar connexions entrants basades en certificat i PSK.
en altres casos TLSCipherCert* i/o TLSCipherPSK* s車n suficients

Les taules seg邦ents mostren els valors predeterminats integrats de TLSCipher*. Poden ser un bon punt de partida per als vostres propis valors personalitzats.

唬棗紳款勳眶喝娶硃釵勳車	GnuTLS 3.6.12
TLSCipherCert	NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP -NULL:+SIGN-ALL:+CTYPE-X.509
TLSCipherPSK	NONE:+VERS-TLS1.2:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1:+CURVE-ALL:+COMP -NULL:+SIGN-ALL
TLSCipherAll	NONE:+VERS-TLS1.2:+ECDHE-RSA:+RSA:+ECDHE-PSK:+PSK:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+SHA1 :+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509

捩硃娶角鳥梗喧娶梗	OpenSSL 1.1.1d ¹
TLSCipherCert13
TLSCipherCert	EECDH+aRSA+AES128:RSA+aRSA+AES128
TLSCipherPSK13	TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
TLSCipherPSK	kECDHEPSK+AES128:kPSK+AES128
TLSCipherAll13
TLSCipherAll	EECDH+aRSA+AES128:RSA+aRSA+AES128:kECDHEPSK+AES128:kPSK+AES128

¹ Els valors per defecte s車n diferents per a les versions anteriors d'OpenSSL (1.0.1, 1.0.2, 1.1.0), per a LibreSSL i si OpenSSL es compila sense suport PSK.

Exemples de suites de xifrat configurades per l'usuari

Veieu els exemples seg邦ents de suites de xifrat configurades per l'usuari tot seguit:

Provant les cadenes de xifrat i nom谷s permetent les suites de xifrat PFS
Canvi d'AES128 a AES256

Proveu les cadenes de xifrat i permeteu nom谷s les suites de xifrat PFS

Per veure quines suites de xifrat s'han triat, heu d'establir 'DebugLevel=4' al fitxer de configuraci車 o emprar l'opci車 -vv per a zabbix_sender.

?s possible que es requereixi una mica d'experimentaci車 amb els par角metres TLSCipher* abans d'aconseguir els conjunts de xifrat desitjats. No 谷s pr角ctic reiniciar el servidor, el proxy o l'agent 韓誥傭痔 diverses vegades nom谷s per canviar la configuraci車 de TLSCipher *. Les opcions m谷s convenients fan servir zabbix_sender o l'ordre openssl. Mostrem tots dos.

1. Emprant zabbix_sender.

Creem un fitxer de configuraci車 de prova, per exemple /home/zabbix/test.conf, amb la sintaxi d'un fitxer zabbix\_agentd.conf:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agent.psk

Us calen certificats de CA i d'agent i PSK v角lids per a aquest exemple. Ajusteu els camins i els noms dels certificats i fitxers PSK per al vostre entorn.

Si no feu servir certificats, nom谷s PSK, podeu crear un fitxer de prova m谷s senzill:

  Hostname=nonexisting
         ServerActive=nonexisting
         
         TLSConnect=psk
         TLSPSKIdentity=nonexisting
         TLSPSKFile=/home/zabbix/agentd.psk

Les suites de xifrat seleccionades es poden veure executant zabbix_sender (exemple compilat amb OpenSSL 1.1.d):

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA
         zabbix_sender [41271]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Aqu赤 veieu les suites de xifrat seleccionades per defecte. Aquests valors predeterminats s'escullen per garantir la interoperabilitat amb els agents 韓誥傭痔 que s'executen en sistemes amb versions anteriors d'OpenSSL (a partir de la 1.0.1).

Amb els sistemes m谷s nous, podeu optar per augmentar la seguretat permetent nom谷s unes quantes suites de xifrat, per exemple nom谷s suites de xifrat amb PFS (Perfect Forward Secrecy). Intentem permetre nom谷s les suites de xifrat amb PFS emprant par角metres TLSCipher*.

El resultat no ser角 interoperable amb sistemes que empren OpenSSL 1.0.1 i 1.0.2, si s'empra PSK. El xifrat basat en certificats hauria de funcionar.

Afegiu dues l赤nies al fitxer de configuraci車 test.conf:

  TLSCipherCert=EECDH+aRSA+AES128
         TLSCipherPSK=kECDHEPSK+AES128

i provar de nou:

  $ zabbix_sender -vv -c /home/zabbix/test.conf -k nonexisting_item -o 1 2>&1 | grep ciphersuites            
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() PSK ciphersuites: TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA        
         zabbix_sender [42892]: DEBUG: zbx_tls_init_child() certificate and PSK ciphersuites: TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA AES128-GCM-SHA256 AES128-CCM8 AES128-CCM AES128-SHA256 AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA PSK-AES128-GCM-SHA256 PSK-AES128-CCM8 PSK-AES128-CCM PSK-AES128-CBC-SHA256 PSK-AES128-CBC-SHA

Les llistes de "suites de xifrat de certificat" i "suites de xifrat PSK" han canviat - S車n m谷s curtes que abans i nom谷s contenen conjunts de xifrat TLS 1.3 i conjunts de xifrat TLS 1.2 ECDHE-* com s'esperava.

2. TLSCipherAll i TLSCipherAll13 no es poden provar amb zabbix_sender; no afecten el valor "certificat i paquets de xifrat PSK" que es mostra a l'exemple anterior. Per modificar TLSCipherAll i TLSCipherAll13, heu d'experimentar amb l'agent, el proxy o el servidor.

Per tant, per permetre nom谷s les suites de xifrat PFS, 谷s possible que hagueu d'afegir fins a tres par角metres

   TLSCipherCert=EECDH+aRSA+AES128
          TLSCipherPSK=kECDHEPSK+AES128
          TLSCipherAll=EECDH+aRSA+AES128:kECDHEPSK+AES128

a zabbix_agentd.conf, zabbix_proxy.conf i zabbix_server.conf si cadascun d'ells t谷 un certificat configurat i l'agent tamb谷 t谷 PSK.

Si el vostre entorn 韓誥傭痔 nom谷s empra xifrat basat en PSK i cap certificat, nom谷s un:

   TLSCipherPSK=kECDHEPSK+AES128

Ara que enteneu com funciona, podeu provar la selecci車 de la suite de xifrat fins i tot fora de 韓誥傭痔, amb l'ordre openssl. Provem els tres valors del par角metre TLSCipher*:

  $ openssl ciphers EECDH+aRSA+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA
         $ openssl ciphers kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA
         $ openssl ciphers EECDH+aRSA+AES128:kECDHEPSK+AES128 | sed 's/:/ /g'
         TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA ECDHE-PSK-AES128-CBC-SHA256 ECDHE-PSK-AES128-CBC-SHA

?s possible que preferiu xifrat openssl amb l'opci車 -V per obtindre una sortida m谷s detallada:

  $ openssl ciphers -V EECDH+aRSA+AES128:kECDHEPSK+AES128
                   0x13,0x02 - TLS_AES_256_GCM_SHA384  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(256) Mac=AEAD
                   0x13,0x03 - TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any      Au=any  Enc=CHACHA20/POLY1305(256) Mac=AEAD
                   0x13,0x01 - TLS_AES_128_GCM_SHA256  TLSv1.3 Kx=any      Au=any  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
                   0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
                   0xC0,0x13 - ECDHE-RSA-AES128-SHA    TLSv1 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA1
                   0xC0,0x37 - ECDHE-PSK-AES128-CBC-SHA256 TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA256
                   0xC0,0x35 - ECDHE-PSK-AES128-CBC-SHA TLSv1 Kx=ECDHEPSK Au=PSK  Enc=AES(128)  Mac=SHA1

De la mateixa manera, podeu provar les cadenes priorit角ries per a GnuTLS:

  $ gnutls-cli -l --priority=NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         Cipher suites for NONE:+VERS-TLS1.2:+ECDHE-RSA:+AES-128-GCM:+AES-128-CBC:+AEAD:+SHA256:+CURVE-ALL:+COMP-NULL:+SIGN-ALL:+CTYPE-X.509
         TLS_ECDHE_RSA_AES_128_GCM_SHA256                        0xc0, 0x2f      TLS1.2
         TLS_ECDHE_RSA_AES_128_CBC_SHA256                        0xc0, 0x27      TLS1.2
         
         Protocols: VERS-TLS1.2
         Ciphers: AES-128-GCM, AES-128-CBC
         MACs: AEAD, SHA256
         Key Exchange Algorithms: ECDHE-RSA
         Groups: GROUP-SECP256R1, GROUP-SECP384R1, GROUP-SECP521R1, GROUP-X25519, GROUP-X448, GROUP-FFDHE2048, GROUP-FFDHE3072, GROUP-FFDHE4096, GROUP-FFDHE6144, GROUP-FFDHE8192
         PK-signatures: SIGN-RSA-SHA256, SIGN-RSA-PSS-SHA256, SIGN-RSA-PSS-RSAE-SHA256, SIGN-ECDSA-SHA256, SIGN-ECDSA-SECP256R1-SHA256, SIGN-EdDSA-Ed25519, SIGN-RSA-SHA384, SIGN-RSA-PSS-SHA384, SIGN-RSA-PSS-RSAE-SHA384, SIGN-ECDSA-SHA384, SIGN-ECDSA-SECP384R1-SHA384, SIGN-EdDSA-Ed448, SIGN-RSA-SHA512, SIGN-RSA-PSS-SHA512, SIGN-RSA-PSS-RSAE-SHA512, SIGN-ECDSA-SHA512, SIGN-ECDSA-SECP521R1-SHA512, SIGN-RSA-SHA1, SIGN-ECDSA-SHA1

Passar d'AES128 a AES256

韓誥傭痔 empra AES128 per defecte per a les dades. Suposem que sou emprant certificats i voleu actualitzar a AES256, a OpenSSL 1.1.1.

Aix辰 es pot aconseguir afegint els par角metres respectius seg邦ents a zabbix_server.conf:

  TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/server.crt
         TLSKeyFile=/home/zabbix/server.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384
         TLSCipherPSK13=TLS_CHACHA20_POLY1305_SHA256
         TLSCipherPSK=kECDHEPSK+AES256:-SHA1
         TLSCipherAll13=TLS_AES_256_GCM_SHA384
         TLSCipherAll=EECDH+aRSA+AES256:-SHA1:-SHA384

Tot i que nom谷s s'empren conjunts de xifrat relacionats amb certificats, els par角metres TLSCipherPSK* tamb谷 s'estableixen per evitar els seus valors predeterminats que inclouen xifrats menys segurs per a una interoperabilitat m谷s 角mplia. Les suites de xifrat PSK no es poden desactivar completament al servidor/proxy.

I a zabbix_agentd.conf:

  TLSConnect=cert
         TLSAccept=cert
         TLSCAFile=/home/zabbix/ca.crt
         TLSCertFile=/home/zabbix/agent.crt
         TLSKeyFile=/home/zabbix/agent.key
         TLSCipherCert13=TLS_AES_256_GCM_SHA384
         TLSCipherCert=EECDH+aRSA+AES256:-SHA1:-SHA384