5 0 0: Deaktivierung der unsicheren Schnittstellen
Übersicht
Um Ihren Datenverkehr vor Diebstahl und anderen Bedrohungen zu schützen, wird dringend empfohlen, das HTTPS-Protokoll für die Übertragung von Daten über das Netzwerk zu verwenden. HTTPS-Verbindungen verwenden das Verschlüsselungsprotokoll Transport Layer Security (TLS), welches folgende Eigenschaften bietet: eine Verschlüsselung zum Schutz der Daten, eine Authentifizierung zur Überprüfung der Identität der beteiligten Parteien und eine Integritätsprüfung um sicherzustellen, dass die Daten während der Übertragung nicht manipuliert worden sind.
SEP sesam unterstützt nun das HTTPS Protokoll für alle Steuerbefehle und den Netzwerkverkehr. Die HTTP- und FTP-Schnittstellen können abgeschaltet werden und der gesamte Datenverkehr wird über die HTTPS-Schnittstellen abgewickelt.
Bevor Sie die HTTP- und FTP-Schnittstellen deaktivieren können, sollten Sie bestehende Aufgaben und Ereignisse (Backups, Wiederherstellungen oder Migrationen) überprüfen und gegebenenfalls auf die HTTPS-Schnittstellen verschieben. Sie können keine Schnittstelle entfernen, die noch in Gebrauch ist.
Anmerkung | |
Auf Windows-Systemen mit einer CPU, die AVX nicht unterstützt, deaktiviert der Sesam Transfer Protocol Server (STPD) automatisch den HTTPS-Port. Folglich können der TLS-Schlüssel und das Zertifikat nicht erstellt werden. Weitere Informationen finden Sie in Bekannte Probleme und Einschränkungen in Version 5.0.0 Jaglion. |
Deaktivierung der unsicheren Schnittstellen
Um die HTTP und FTP Schnittstellen zu deaktivieren und den Datenverkehr auf HTTPS zu verlagern, müssen Sie die Ports auf dem SEP sesam Server und allen RDS deaktivieren und dann die Schnittstellen in der SEP sesam Konfiguration entfernen.
Deaktivieren Sie TLS 1.1
Der STPD Dienst unterstützt immer noch TLS Version 1.1, die weitgehend veraltet ist und nicht verwendet werden sollte. Um die Sicherheit zu erhöhen, können Sie die Unterstützung von TLS 1.1 entfernen und sicherstellen, dass eine neuere Version von TLS für die Kommunikation zwischen SEP sesam Komponenten verwendet wird.
- Suchen Sie die
<sesam_var>/ini/stpd.ini
Datei auf dem SEP sesam Server und auf jedem RDS. - Öffnen Sie die stpd.ini Datei mit einem Texteditor und fügen Sie im Abschnitt STPD Server den folgenden Eintrag hinzu:
- Speichern Sie Ihre Änderungen und starten Sie den Server neu, damit die Änderungen wirksam werden.
[STPD_Server] STPD_HTTPS_PRIORITY_STRING="NORMAL:-VERS-TLS1.0:-VERS-TLS1.1:-VERS-SSL3.0:-3DES-CBC:-DES-CBC:%SERVER_PRECEDENCE"
Deaktivieren Sie die HTTP- und FTP-Ports
- Suchen Sie die
<sesam_var>/ini/stpd.ini
Datei auf dem SEP sesam Server und auf jedem RDS. - Öffnen Sie die Datei stpd.ini mit einem Texteditor und kommentieren Sie die unsicheren Ports aus (fügen Sie das Symbol #' am Anfang der Zeile ein):
[STPD_Server] # STPD_PORT=11001 # STPD_HTTP_PORT=11000 STPD_HTTPS_PORT=11443
Nur HTTPS-Port 11443 bleibt aktiv. - Speichern Sie Ihre Änderungen und starten Sie den Server neu, damit die Änderungen wirksam werden.
Entfernen Sie die HTTP- und FTP-Schnittstellen
Auf dem SEP sesam Server und allen RDS können Sie alle unsicheren Schnittstellen entfernen, die HTTP oder FTP Protokolle verwenden.
- In der Auswahl -> Komponenten -> Clients, suchen Sie Ihren SEP sesam Server, klicken Sie mit der rechten Maustaste darauf und wählen Sie Eigenschaften.
- Löschen Sie in der Liste der konfigurierten Schnittstellen die unsicheren Schnittstellen, die Sie nicht mehr verwenden möchten.
- Klicken Sie auf Übernehmen, um die Änderungen zu speichern.
- Wiederholen Sie diesen Vorgang bei Bedarf auch für alle RDS.
Wenn eine bestehende Aufgabe oder ein Ereignis (Sicherung, Wiederherstellung oder Migration) noch die Schnittstelle verwendet, die Sie entfernen möchten, wird eine Warnung angezeigt und SEP sesam löscht die Schnittstelle nicht.
In diesem Fall suchen Sie die Aufgabe oder das Ereignis, das diese Schnittstelle verwendet und wechseln Sie zu einer sicheren Schnittstelle. Sie können auch das Feld Schnittstelle leeren (leeren Wert auswählen), um eine beliebige der auf dem SEP sesam Server konfigurierten Schnittstellen zu verwenden.
Einstellung von HTTPS als Standard bei Abbruch der aktiven Datenübertragung
Standardmäßig bricht SEP sesam immer die Datenübertragung (Sicherung, Rücksicherung, Migration) über FTP ab. Wenn Sie den Port 11001, der für FTP-Verkehr verwendet wird, deaktivieren, funktionieren diese Befehle nicht mehr. Sie können eine globale Variable setzen, um den HTTPS-Transportmodus zu verwenden, um eine aktive Datenübertragung abzubrechen.
Sie können HTTPS als Standard einstellen, indem Sie in den globalen Einstellungen in der Web UI folgenden Schlüssel hinzufügen (oder ändern):
- Klicken Sie im Navigationsmenü auf Systemkonfiguration -> Systemeinstellungen.
- Klicken Sie auf [+ Neu], um den folgenden Schlüssel zu den globalen Einstellungen hinzuzufügen (oder ändern Sie den Schlüsselwert, falls er bereits existiert):
gv_conf_use_com_stpd_kill|sesam|https
wobei value=https bedeutet, dass das HTTPS-Protokoll für den Abbruch aktiver Datenübertragungen verwendet wird und sesam der Benutzername ist.
Siehe auch
Konfiguration der SSL-gesicherten Kommunikation für das SEP sesam Sicherungsnetzwerk - Bewährte Praktiken zum Schutz vor Ransomware – Sicherungsstrategie – Best Practices