5 0 0: Deaktivierung der unsicheren Schnittstellen

From SEPsesam
This page is a translated version of the page 5 0 0:Disabling unsecure transport modes and the translation is 100% complete.


Dies ist die Dokumentation für die SEP sesam Version 5.0.0 Jaglion.
Dies ist nicht die neueste Version der SEP sesam Dokumentation und bietet daher keine Informationen über die in der neuesten Version eingeführten Funktionen. Weitere Informationen zu SEP sesam Releases finden Sie unter SEP sesam Release Versionen. Die neueste Dokumentation finden Sie in der aktuellen SEP sesam Documentation.


Übersicht


Um Ihren Datenverkehr vor Diebstahl und anderen Bedrohungen zu schützen, wird dringend empfohlen, das HTTPS-Protokoll für die Übertragung von Daten über das Netzwerk zu verwenden. HTTPS-Verbindungen verwenden das Verschlüsselungsprotokoll Transport Layer Security (TLS), welches folgende Eigenschaften bietet: eine Verschlüsselung zum Schutz der Daten, eine Authentifizierung zur Überprüfung der Identität der beteiligten Parteien und eine Integritätsprüfung um sicherzustellen, dass die Daten während der Übertragung nicht manipuliert worden sind.

SEP sesam unterstützt nun das HTTPS Protokoll für alle Steuerbefehle und den Netzwerkverkehr. Die HTTP- und FTP-Schnittstellen können abgeschaltet werden und der gesamte Datenverkehr wird über die HTTPS-Schnittstellen abgewickelt.

Bevor Sie die HTTP- und FTP-Schnittstellen deaktivieren können, sollten Sie bestehende Aufgaben und Ereignisse (Backups, Wiederherstellungen oder Migrationen) überprüfen und gegebenenfalls auf die HTTPS-Schnittstellen verschieben. Sie können keine Schnittstelle entfernen, die noch in Gebrauch ist.

Anmerkung
Auf Windows-Systemen mit einer CPU, die AVX nicht unterstützt, deaktiviert der Sesam Transfer Protocol Server (STPD) automatisch den HTTPS-Port. Folglich können der TLS-Schlüssel und das Zertifikat nicht erstellt werden. Weitere Informationen finden Sie in Bekannte Probleme und Einschränkungen in Version 5.0.0 Jaglion.

Deaktivierung der unsicheren Schnittstellen

Um die HTTP und FTP Schnittstellen zu deaktivieren und den Datenverkehr auf HTTPS zu verlagern, müssen Sie die Ports auf dem SEP sesam Server und allen RDS deaktivieren und dann die Schnittstellen in der SEP sesam Konfiguration entfernen.

Deaktivieren Sie TLS 1.1

Der STPD Dienst unterstützt immer noch TLS Version 1.1, die weitgehend veraltet ist und nicht verwendet werden sollte. Um die Sicherheit zu erhöhen, können Sie die Unterstützung von TLS 1.1 entfernen und sicherstellen, dass eine neuere Version von TLS für die Kommunikation zwischen SEP sesam Komponenten verwendet wird.

  1. Suchen Sie die <sesam_var>/ini/stpd.ini Datei auf dem SEP sesam Server und auf jedem RDS.
  2. Öffnen Sie die stpd.ini Datei mit einem Texteditor und fügen Sie im Abschnitt STPD Server den folgenden Eintrag hinzu:
  3. [STPD_Server]
    STPD_HTTPS_PRIORITY_STRING="NORMAL:-VERS-TLS1.0:-VERS-TLS1.1:-VERS-SSL3.0:-3DES-CBC:-DES-CBC:%SERVER_PRECEDENCE"
    
  4. Speichern Sie Ihre Änderungen und starten Sie den Server neu, damit die Änderungen wirksam werden.

Deaktivieren Sie die HTTP- und FTP-Ports

  1. Suchen Sie die <sesam_var>/ini/stpd.ini Datei auf dem SEP sesam Server und auf jedem RDS.
  2. Öffnen Sie die Datei stpd.ini mit einem Texteditor und kommentieren Sie die unsicheren Ports aus (fügen Sie das Symbol #' am Anfang der Zeile ein):
    [STPD_Server]
    # STPD_PORT=11001
    # STPD_HTTP_PORT=11000
    STPD_HTTPS_PORT=11443
    
    Nur HTTPS-Port 11443 bleibt aktiv.
  3. Speichern Sie Ihre Änderungen und starten Sie den Server neu, damit die Änderungen wirksam werden.

Entfernen Sie die HTTP- und FTP-Schnittstellen

Auf dem SEP sesam Server und allen RDS können Sie alle unsicheren Schnittstellen entfernen, die HTTP oder FTP Protokolle verwenden.

  1. In der Auswahl -> Komponenten -> Clients, suchen Sie Ihren SEP sesam Server, klicken Sie mit der rechten Maustaste darauf und wählen Sie Eigenschaften.
  2. Löschen Sie in der Liste der konfigurierten Schnittstellen die unsicheren Schnittstellen, die Sie nicht mehr verwenden möchten.
  3. Klicken Sie auf Übernehmen, um die Änderungen zu speichern.
  4. Wiederholen Sie diesen Vorgang bei Bedarf auch für alle RDS.

Wenn eine bestehende Aufgabe oder ein Ereignis (Sicherung, Wiederherstellung oder Migration) noch die Schnittstelle verwendet, die Sie entfernen möchten, wird eine Warnung angezeigt und SEP sesam löscht die Schnittstelle nicht.

In diesem Fall suchen Sie die Aufgabe oder das Ereignis, das diese Schnittstelle verwendet und wechseln Sie zu einer sicheren Schnittstelle. Sie können auch das Feld Schnittstelle leeren (leeren Wert auswählen), um eine beliebige der auf dem SEP sesam Server konfigurierten Schnittstellen zu verwenden.

Einstellung von HTTPS als Standard bei Abbruch der aktiven Datenübertragung

Standardmäßig bricht SEP sesam immer die Datenübertragung (Sicherung, Rücksicherung, Migration) über FTP ab. Wenn Sie den Port 11001, der für FTP-Verkehr verwendet wird, deaktivieren, funktionieren diese Befehle nicht mehr. Sie können eine globale Variable setzen, um den HTTPS-Transportmodus zu verwenden, um eine aktive Datenübertragung abzubrechen.

Sie können HTTPS als Standard einstellen, indem Sie in den globalen Einstellungen in der Web UI folgenden Schlüssel hinzufügen (oder ändern):

  1. Klicken Sie im Navigationsmenü auf Systemkonfiguration -> Systemeinstellungen.
  2. Klicken Sie auf [+ Neu], um den folgenden Schlüssel zu den globalen Einstellungen hinzuzufügen (oder ändern Sie den Schlüsselwert, falls er bereits existiert):
    gv_conf_use_com_stpd_kill|sesam|https
    wobei value=https bedeutet, dass das HTTPS-Protokoll für den Abbruch aktiver Datenübertragungen verwendet wird und sesam der Benutzername ist.


Siehe auch

Konfiguration der SSL-gesicherten Kommunikation für das SEP sesam Sicherungsnetzwerk - Bewährte Praktiken zum Schutz vor RansomwareSicherungsstrategie – Best Practices

Copyright © SEP AG 1999-2024. Alle Rechte vorbehalten.
Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.