防止在ESA和SMA上协商空或匿名密码

简介

本文档介绍如何更改思科邮件安全设备(ESA)和思科安全管理设备(SMA)密码设置，以防止协商空密码或匿名密码。本文档适用于基于硬件的设备和基于虚拟的设备。

先决条件

要求

Cisco 建议您了解以下主题：

• 思科ESA
• 思科SMA

使用的组件

本文档中的信息基于Cisco ESA和Cisco SMA的所有版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

防止协商空密码或匿名密码

本节介绍如何防止在运行AsyncOS for Email Security 9.1版及更高版本的Cisco ESA以及思科SMA上协商空或匿名密码。

运行AsyncOS for Email Security 9.5或更高版本的ESA

随着AsyncOS for Email Security版本9.5的推出，现在支持TLS v1.2。上一节中介绍的命令仍然有效；但是，您会看到输出中包含TLS v1.2的更新。

以下是CLI的输出示例：

> sslconfig

sslconfig settings:
 GUI HTTPS method: tlsv1/tlsv1.2
 GUI HTTPS ciphers: 
 MEDIUM
 HIGH
 -SSLv2
 -aNULL
 @STRENGTH
 Inbound SMTP method: tlsv1/tlsv1.2
 Inbound SMTP ciphers: 
 MEDIUM
 HIGH
 -SSLv2
 -aNULL
 @STRENGTH
 Outbound SMTP method: tlsv1/tlsv1.2
 Outbound SMTP ciphers: 
 MEDIUM
 HIGH
 -SSLv2
 -aNULL
 @STRENGTH

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> inbound

Enter the inbound SMTP ssl method you want to use.
1. SSL v2 
2. SSL v3 
3. TLS v1/TLS v1.2 
4. SSL v2 and v3
5. SSL v3 and TLS v1/TLS v1.2
6. SSL v2, v3 and TLS v1/TLS v1.2
[3]>

为了从GUI访问这些设置，请导航到系统管理> SSL配置>编辑设置……：

提示：有关完整信息，请参阅9.5版或更高版本的相应ESA最终用户指南。

运行AsyncOS for Email Security 9.1版或更早版本的ESA

您可以使用sslconfig命令修改ESA上使用的密码。要防止ESA协商空密码或匿名密码，请在ESA CLI中输入sslconfig命令并应用以下设置：

• 入站简单邮件传输协议(SMTP)方法：sslv3tlsv1
  
  
• 入站SMTP密码：中：高：-SSLv2：-aNULL：@STRENGTH
  
  
• 出站SMTP方法：sslv3tlsv1
  
  
• 出站SMTP密码：中：高：-SSLv2：-aNULL：@STRENGTH

以下是入站密码的示例配置：

CLI: > sslconfig

sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit inbound SMTP ssl settings.
- OUTBOUND - Edit outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> inbound

Enter the inbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the inbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]> MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH

注意：请根据需要为每个密码设置GUI、INBOUND和OUTBOUND。

从AsyncOS for Email Security版本8.5开始，sslconfig命令也可通过GUI使用。为了从GUI访问这些设置，请导航到系统管理> SSL配置>编辑设置：

提示：安全套接字层协议(SSL) 3.0版(RFC-6101)是一种过时且不安全的协议。SSLv3 CVE-2014-3566中存在一个漏洞，该漏洞称为在降级传统加密(POODLE)攻击中填充Oracle，可通过思科漏洞ID CSCur27131进行跟踪。思科建议您在更改密码时禁用SSLv3，仅使用传输层安全(TLS)，然后选择选项3 (TLS v1)。有关完整详细信息，请参阅思科漏洞ID CSCur27131。

运行AsycnOS for Content Security Management 9.6或更新版本的SMA

与ESA相似，可在CLI上运行sslconfig命令。

运行AsyncOS for Content Security Management 9.5或更高版本的SMA

sslconfig命令不可用于旧版本的SMA。

注意：用于SMA的AsyncOS的较早版本仅支持TLS v1。  请在SMA上升级到9.6或更高版本，以便进行最新的SSL管理。

您必须从SMA CLI完成以下步骤才能修改SSL密码：

1. 将SMA配置文件保存到本地计算机。
   
   
2. 打开XML文件。
   
   
3. 在XML中搜索<ssl>部分：
   
   

   <ssl>
       <ssl_inbound_method>sslv3tlsv1</ssl_inbound_method>
       <ssl_inbound_ciphers>RC4-SHA:RC4-MD5:ALL</ssl_inbound_ciphers>
       <ssl_outbound_method>sslv3tlsv1</ssl_outbound_method>
       <ssl_outbound_ciphers>RC4-SHA:RC4-MD5:ALL</ssl_outbound_ciphers>
       <ssl_gui_method>sslv3tlsv1</ssl_gui_method>
       <ssl_gui_ciphers>RC4-SHA:RC4-MD5:ALL</ssl_gui_ciphers>
     </ssl>

4. 根据需要修改密码并保存XML：
   
   

   <ssl>
       <ssl_inbound_method>tlsv1</ssl_inbound_method>
       <ssl_inbound_ciphers>MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH</ssl_inbound_ciphers>
       <ssl_outbound_method>tlsv1</ssl_outbound_method>
       <ssl_outbound_ciphers>MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH</ssl_outbound_ciphers>
       <ssl_gui_method>tlsv1</ssl_gui_method>
       <ssl_gui_ciphers>MEDIUM:HIGH:-SSLv2:-aNULL:@STRENGTH</ssl_gui_ciphers>
    </ssl>

5. 将新配置文件加载到SMA中。
   
   
6. 提交并提交所有更改。

相关信息

• Cisco ESA -版本说明
• Cisco ESA -用户指南
• Cisco SMA -版本说明
• Cisco SMA -用户指南
• 技术支持和文档 - Cisco Systems