TÓM TẮT
OfficeScan XG SP1 và Apex One chuyển kênh giao tiếp giữa các tác nhân và máy chủ sang giao thức HTTPS sử dụng công nghệ TLS. Bằng các này, cổng liên lạc trên máy chủ cũng sẽ thay đổi từ cổng HTTP ( mặc định là 8080) sang cổng HTTPS ( giống như bảng điều khiển trang web, mặc định là 4343 )
Một số môi trường sẽ gặp sự cố giao tiếp bằng HTTPS do nhiều nguyên do (Vd: môi trường SSL/TLS không đồng nhất, tường lửa chặn cổng HTTPS, v.v… ). Điều này có thể dẫn đến các tác nhân hiện ngoại tuyến, không thể nâng cấp và không tải lên nhật kí hoặc tệp bị cách li.
HƯỚNG DẪN CHI TIẾT
1. TLS
Windows sẽ thỏa thuận phiên bản SSL/TLS chung được hỗ trợ cao nhất bởi máy chủ và khách hàng. Ví dụ:
- Nếu máy chủ và khách hàng đều hỗ trợ TLS 1.2, họ sẽ thỏa thuận và dùng TLS 1.2
- Nếu máy chủ hỗ trợ TLS 1.1 và 1.2, nhưng khách hàng chỉ hỗ trợ TLS 1.0 và 1.1, họ sẽ thỏa thuận và dùng TLS 1.1.
- Nếu máy chủ hỗ trợ TLS 1.2, nhưng khách hàng chỉ hỗ trợ TLS 1.0, họ sẽ không thể thỏa thuận và kết nối sẽ không được thiết lập.
Hãy xem ví dụ từ bài viết sau: Windows 7/2008/2008R2 hiện ngoại tuyến sau khi nâng cấp lên OfficeScan XG SP1.
Các hệ điều hành cũ hơn có thể cần các bản vá đặc biệt để hỗ trợ thủ tục làm mới. Vui lòng tham khảo lời khuyên cho TLS 1.1 và 1.2 tại bài viết Khả năng tương thích bảo mật dữ liệu chuẩn PCI với OfficeScan.
2. Truy vết mạng thể hiện các kết nối TLS từ tác nhân đến máy chủ
Sau đây là Truy vết mạng cho thấy các kết nối từ tác nhân đến máy chủ, cả kết nối thành công và thất bại.
2.1 Thỏa thuận TLS 1.2 – Truy vết mạng
- Thủ tục bắt tay 3 bước TCP
18:19:56.533860 711 40.643720 10.0.3.50 10.0.2.105 TCP 66 50420 → 4343 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM=1 18:19:56.546115 712 40.655975 10.0.2.105 10.0.3.50 TCP 66 4343 → 50420 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1400 WS=256 SACK_PERM=1713 18:19:56.546195 713 40.656055 10.0.3.50 10.0.2.105 TCP 54 50420 → 4343 [ACK] Seq=1 Ack=1 Win=263168 Len=0
Sau đó, lệnh Client Hello thì khách hàng báo cho máy chủ biết muốn sử dụng (TLS 1.2) và những mật mà mà nó hỗ trợ. Máy chủ phải chấp nhận với cùng một giao thức và bộ mật mã để tiếp lục giao tiếp.
18:19:56.601626 714 40.711486 10.0.3.50 10.0.2.105 TLSv1.2 243 Client Hello Frame 714: 243 bytes on wire (1944 bits), 243 bytes captured (1944 bits) on interface 0 Ethernet II, Src: Microsof_68:54:07 (00:15:5d:68:54:07), Dst: Microsof_68:54:06 (00:15:5d:68:54:06) Internet Protocol Version 4, Src: 10.0.3.50, Dst: 10.0.2.105 Transmission Control Protocol, Src Port: 50420, Dst Port: 4343, Seq: 1, Ack: 1, Len: 189 Secure Sockets Layer TLSv1.2 Record Layer: Handshake Protocol: Client Hello Content Type: Handshake (22) Version: TLS 1.2 (0x0303) Length: 184 Handshake Protocol: Client Hello Handshake Type: Client Hello (1) Length: 180 Version: TLS 1.2 (0x0303) Random: 5aea014c62e61f9d0e8749f2a52a8533890b9e6be56cad78... Session ID Length: 0 Cipher Suites Length: 42 Cipher Suites (21 suites) Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c) Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) Cipher Suite: TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x009f) Cipher Suite: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e) Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024) Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023) Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a) Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) Cipher Suite: TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d) Cipher Suite: TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c) Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d) Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c) Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035) Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f) Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a) Compression Methods Length: 1 Compression Methods (1 method) Extensions Length: 97 Extension: server_name (len=11) Extension: status_request (len=5) Extension: supported_groups (len=8) Extension: ec_point_formats (len=2) Extension: signature_algorithms (len=20) Extension: SessionTicket TLS (len=0) Extension: application_layer_protocol_negotiation (len=14) Extension: extended_master_secret (len=0) Extension: renegotiation_info (len=1)
- Sau khi thành công, máy chủ sẽ gửi lệnh Server Hello. Bao gồm giao thức giống như của tác nhân (TLS 1.2), mật mã được chọn và chứng chỉ của máy chủ.
18:19:56.613664 716 40.723524 10.0.2.105 10.0.3.50 TLSv1.2 679 Server Hello, Certificate, Server Key Exchange, Server Hello Done Frame 716: 679 bytes on wire (5432 bits), 679 bytes captured (5432 bits) on interface 0 Ethernet II, Src: Microsof_68:54:06 (00:15:5d:68:54:06), Dst: Microsof_68:54:07 (00:15:5d:68:54:07) Internet Protocol Version 4, Src: 10.0.2.105, Dst: 10.0.3.50 Transmission Control Protocol, Src Port: 4343, Dst Port: 50420, Seq: 1401, Ack: 190, Len: 625 [2 Reassembled TCP Segments (2025 bytes): #715(1400), #716(625)] Secure Sockets Layer TLSv1.2 Record Layer: Handshake Protocol: Multiple Handshake Messages Content Type: Handshake (22) Version: TLS 1.2 (0x0303) Length: 2020 Handshake Protocol: Server Hello Handshake Type: Server Hello (2) Length: 90 Version: TLS 1.2 (0x0303) Random: 5aea014c61794843f79d0c71490f191bea899c92229a00ad... Session ID Length: 32 Session ID: f71900007caa18c93b400632a898f775aa5b0a959cefca22... Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Compression Method: null (0) Extensions Length: 18 Extension: application_layer_protocol_negotiation (len=5) Extension: extended_master_secret (len=0) Extension: renegotiation_info (len=1) Handshake Protocol: Certificate Handshake Type: Certificate (11) Length: 1618 Certificates Length: 1615 Certificates (1615 bytes) Handshake Protocol: Server Key Exchange Handshake Type: Server Key Exchange (12) Length: 296 EC Diffie-Hellman Server Params Handshake Protocol: Server Hello Done Handshake Type: Server Hello Done (14) Length: 0
- Sau lệnh Server Hello và xác nhận chứng chỉ của máy chủ, khách hàng sẽ dùng chứng chỉ đó để bắt đầu mã hóa thủ tục bắt tay sử dụng phương thức thỏa thuận và mật mã đã thỏa thuận.
18:19:56.615223 718 40.725083 10.0.3.50 10.0.2.105 TLSv1.2 147 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message Frame 718: 147 bytes on wire (1176 bits), 147 bytes captured (1176 bits) on interface 0 Ethernet II, Src: Microsof_68:54:07 (00:15:5d:68:54:07), Dst: Microsof_68:54:06 (00:15:5d:68:54:06) Internet Protocol Version 4, Src: 10.0.3.50, Dst: 10.0.2.105 Transmission Control Protocol, Src Port: 50420, Dst Port: 4343, Seq: 190, Ack: 2026, Len: 93 Secure Sockets Layer TLSv1.2 Record Layer: Handshake Protocol: Client Key Exchange Content Type: Handshake (22) Version: TLS 1.2 (0x0303) Length: 37 Handshake Protocol: Client Key Exchange Handshake Type: Client Key Exchange (16) Length: 33 EC Diffie-Hellman Client Params TLSv1.2 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec Content Type: Change Cipher Spec (20) Version: TLS 1.2 (0x0303) Length: 1 Change Cipher Spec Message TLSv1.2 Record Layer: Handshake Protocol: Encrypted Handshake Message Content Type: Handshake (22) Version: TLS 1.2 (0x0303) Length: 40 Handshake Protocol: Encrypted Handshake Message
- Máy chủ sẽ sử dụng thông tin này và tiếp tục phần thủ tục của nó.
18:19:56.631367 719 40.741227 10.0.2.105 10.0.3.50 TLSv1.2 105 Change Cipher Spec, Encrypted Handshake Message Frame 719: 105 bytes on wire (840 bits), 105 bytes captured (840 bits) on interface 0 Ethernet II, Src: Microsof_68:54:06 (00:15:5d:68:54:06), Dst: Microsof_68:54:07 (00:15:5d:68:54:07) Internet Protocol Version 4, Src: 10.0.2.105, Dst: 10.0.3.50 Transmission Control Protocol, Src Port: 4343, Dst Port: 50420, Seq: 2026, Ack: 283, Len: 51 Secure Sockets Layer TLSv1.2 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec Content Type: Change Cipher Spec (20) Version: TLS 1.2 (0x0303) Length: 1 Change Cipher Spec Message TLSv1.2 Record Layer: Handshake Protocol: Encrypted Handshake Message Content Type: Handshake (22) Version: TLS 1.2 (0x0303) Length: 40 Handshake Protocol: Encrypted Handshake Message
- Giao tiếp sẽ hoạt động thành công với mã hóa.
2.1 Thỏa thuận TLS 1.1 (Khách hàng chỉ hỗ trợ TLS 1.1 – Máy chủ hỗ trợ TLS 1.1 and 1.2) – Truy vết mạng
- Thủ tục bắt tay 3 bước TCP
16:09:20.590777 346 37.286887 10.0.3.50 10.0.2.105 TCP 66 49840 → 4343 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM=1 16:09:20.592941 347 37.289051 10.0.2.105 10.0.3.50 TCP 66 4343 → 49840 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1400 WS=256 SACK_PERM=1 16:09:20.593575 348 37.289685 10.0.3.50 10.0.2.105 TCP 54 49840 → 4343 [ACK] Seq=1 Ack=1 Win=263168 Len=0
- Sau đó, lệnh Client Hello thì khách hàng báo cho máy chủ biết muốn sử dụng (TLS 1.1) và những mật mã mà nó hỗ trợ. Máy chủ phải chấp nhận với cùng một giao thức và bộ mật mã để tiếp tục giao tiếp.
16:09:20.673698 349 37.369808 10.0.3.50 10.0.2.105 TLSv1.1 191 Client Hello Frame 349: 191 bytes on wire (1528 bits), 191 bytes captured (1528 bits) on interface 0 Ethernet II, Src: Microsof_68:54:07 (00:15:5d:68:54:07), Dst: Microsof_68:54:06 (00:15:5d:68:54:06) Internet Protocol Version 4, Src: 10.0.3.50, Dst: 10.0.2.105 Transmission Control Protocol, Src Port: 49840, Dst Port: 4343, Seq: 1, Ack: 1, Len: 137 Secure Sockets Layer TLSv1.1 Record Layer: Handshake Protocol: Client Hello Content Type: Handshake (22) Version: TLS 1.1 (0x0302) Length: 132 Handshake Protocol: Client Hello Handshake Type: Client Hello (1) Length: 128 Version: TLS 1.1 (0x0302) Random: 5afda9303ee62dad4c67806844112542e8746c73e46e56ea... Session ID Length: 0 Cipher Suites Length: 14 Cipher Suites (7 suites) Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a) Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035) Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f) Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a) Compression Methods Length: 1 Compression Methods (1 method) Extensions Length: 73 Extension: server_name (len=11) Extension: status_request (len=5) Extension: supported_groups (len=8) Extension: ec_point_formats (len=2) Extension: SessionTicket TLS (len=0) Extension: application_layer_protocol_negotiation (len=14) Extension: extended_master_secret (len=0) Extension: renegotiation_info (len=1)
- Sau khi thành công, máy chủ sẽ gửi lệnh Server Hello. Bao gồm giao thức giống như của tác nhân (TLS 1.2), mật mã được chọn và chứng chỉ của máy chủ.
16:09:20.678780 351 37.374890 10.0.2.105 10.0.3.50 TLSv1.1 677 Server Hello, Certificate, Server Key Exchange, Server Hello Done Frame 351: 677 bytes on wire (5416 bits), 677 bytes captured (5416 bits) on interface 0 Ethernet II, Src: Microsof_68:54:06 (00:15:5d:68:54:06), Dst: Microsof_68:54:07 (00:15:5d:68:54:07) Internet Protocol Version 4, Src: 10.0.2.105, Dst: 10.0.3.50 Transmission Control Protocol, Src Port: 4343, Dst Port: 49840, Seq: 1401, Ack: 138, Len: 623 [2 Reassembled TCP Segments (2023 bytes): #350(1400), #351(623)] Secure Sockets Layer TLSv1.1 Record Layer: Handshake Protocol: Multiple Handshake Messages Content Type: Handshake (22) Version: TLS 1.1 (0x0302) Length: 2018 Handshake Protocol: Server Hello Handshake Type: Server Hello (2) Length: 90 Version: TLS 1.1 (0x0302) Random: 5afda930739cc7dc97c4e53d4d4e189e4bc26cfee1517337... Session ID Length: 32 Session ID: b61a000002965c0ab15f31c1cefdf906555772354b27dd76... Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) Compression Method: null (0) Extensions Length: 18 Extension: application_layer_protocol_negotiation (len=5) Extension: extended_master_secret (len=0) Extension: renegotiation_info (len=1) Handshake Protocol: Certificate Handshake Type: Certificate (11) Length: 1618 Certificates Length: 1615 Certificates (1615 bytes) Handshake Protocol: Server Key Exchange Handshake Type: Server Key Exchange (12) Length: 294 EC Diffie-Hellman Server Params Handshake Protocol: Server Hello Done Handshake Type: Server Hello Done (14) Length: 0
- Sau lệnh Server Hello và xác nhận chứng chỉ của máy chủ, khách hàng sẽ dùng chứng chỉ đó để bắt đầu mã hóa thủ tục bắt tay sử dụng phương thức thỏa thuận và mật mã đã thỏa thuận.
16:09:20.684151 353 37.380261 10.0.3.50 10.0.2.105 TLSv1.1 171 Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message Frame 353: 171 bytes on wire (1368 bits), 171 bytes captured (1368 bits) on interface 0 Ethernet II, Src: Microsof_68:54:07 (00:15:5d:68:54:07), Dst: Microsof_68:54:06 (00:15:5d:68:54:06) Internet Protocol Version 4, Src: 10.0.3.50, Dst: 10.0.2.105 Transmission Control Protocol, Src Port: 49840, Dst Port: 4343, Seq: 138, Ack: 2024, Len: 117 Secure Sockets Layer TLSv1.1 Record Layer: Handshake Protocol: Client Key Exchange Content Type: Handshake (22) Version: TLS 1.1 (0x0302) Length: 37 Handshake Protocol: Client Key Exchange Handshake Type: Client Key Exchange (16) Length: 33 EC Diffie-Hellman Client Params TLSv1.1 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec Content Type: Change Cipher Spec (20) Version: TLS 1.1 (0x0302) Length: 1 Change Cipher Spec Message TLSv1.1 Record Layer: Handshake Protocol: Encrypted Handshake Message Content Type: Handshake (22) Version: TLS 1.1 (0x0302) Length: 64 Handshake Protocol: Encrypted Handshake Message
- Máy chủ sẽ sử dụng thông tin này và tiếp tục phần thủ tục của nó.
16:09:20.686772 354 37.382882 10.0.2.105 10.0.3.50 TLSv1.1 129 Change Cipher Spec, Encrypted Handshake Message Frame 354: 129 bytes on wire (1032 bits), 129 bytes captured (1032 bits) on interface 0 Ethernet II, Src: Microsof_68:54:06 (00:15:5d:68:54:06), Dst: Microsof_68:54:07 (00:15:5d:68:54:07) Internet Protocol Version 4, Src: 10.0.2.105, Dst: 10.0.3.50 Transmission Control Protocol, Src Port: 4343, Dst Port: 49840, Seq: 2024, Ack: 255, Len: 75 Secure Sockets Layer TLSv1.1 Record Layer: Change Cipher Spec Protocol: Change Cipher Spec Content Type: Change Cipher Spec (20) Version: TLS 1.1 (0x0302) Length: 1 Change Cipher Spec Message TLSv1.1 Record Layer: Handshake Protocol: Encrypted Handshake Message Content Type: Handshake (22) Version: TLS 1.1 (0x0302) Length: 64 Handshake Protocol: Encrypted Handshake Message
- Giao tiếp sẽ hoạt động thành công với mã hóa.
2.3 Thỏa thuận TLS 1.1 (Khách hàng hỗ trợ TLS 1.1 và 1.2 – Máy chủ hỗ trợ TLS 1.1) – Truy viết mạng
- Thủ tục bắt tay 3 bước TCP
16:28:58.861976 61 3.211254 10.0.2.104 10.0.2.105 TCP 66 50440 → 4343 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 WS=256 SACK_PERM=1 16:28:58.862262 62 3.211540 10.0.2.105 10.0.2.104 TCP 66 4343 → 50440 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 16:28:58.862567 63 3.211845 10.0.2.104 10.0.2.105 TCP 54 50440 → 4343 [ACK] Seq=1 Ack=1 Win=262144 Len=0
- Sau đó, lệnh Client Hello thì khách hàng báo cho máy chủ biết muốn sử dụng (TLS 1.2) và những mật mã mà nó hỗ trợ. Máy chủ phải chấp nhận với cùng một giao thức và bộ mật mã để tiếp tục giao tiếp.
16:28:58.865301 64 3.214579 10.0.2.104 10.0.2.105 TLSv1.1 261 Client Hello Frame 64: 261 bytes on wire (2088 bits), 261 bytes captured (2088 bits) on interface 0 Ethernet II, Src: Microsof_2c:1e:23 (00:15:5d:2c:1e:23), Dst: Microsof_2c:1e:38 (00:15:5d:2c:1e:38) Internet Protocol Version 4, Src: 10.0.2.104, Dst: 10.0.2.105 Transmission Control Protocol, Src Port: 50440, Dst Port: 4343, Seq: 1, Ack: 1, Len: 207 Secure Sockets Layer TLSv1.1 Record Layer: Handshake Protocol: Client Hello Content Type: Handshake (22) Version: TLS 1.2 (0x0303) Length: 202 Handshake Protocol: Client Hello Handshake Type: Client Hello (1) Length: 198 Version: TLS 1.2 (0x0303) Random: 5afdadca810d2ca16a5ea1c9dec9aadd5e3399c46869a418... Session ID Length: 0 Cipher Suites Length: 38 Cipher Suites (19 suites) Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c) Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 (0xc024) Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 (0xc023) Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA (0xc00a) Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA (0xc009) Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) Cipher Suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) Cipher Suite: TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d) Cipher Suite: TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c) Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d) Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c) Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035) Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f) Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a) Compression Methods Length: 1 Compression Methods (1 method) Extensions Length: 119 Extension: server_name (len=23) Extension: status_request (len=5) Extension: supported_groups (len=8) Extension: ec_point_formats (len=2) Extension: signature_algorithms (len=20) Extension: SessionTicket TLS (len=0) Extension: application_layer_protocol_negotiation (len=14) Extension: extended_master_secret (len=0) Extension: token_binding (len=6) Extension: renegotiation_info (len=1)
- Lần này, do máy chủ không hỗ trợ TLS 1.2, báo rằng nó hỗ trợ cao nhất là TLS 1.1
16:28:58.867066 66 3.216344 10.0.2.105 10.0.2.104 TLSv1.1 617 Server Hello, Certificate, Server Key Exchange, Server Hello Done Frame 66: 617 bytes on wire (4936 bits), 617 bytes captured (4936 bits) on interface 0 Ethernet II, Src: Microsof_2c:1e:38 (00:15:5d:2c:1e:38), Dst: Microsof_2c:1e:23 (00:15:5d:2c:1e:23) Internet Protocol Version 4, Src: 10.0.2.105, Dst: 10.0.2.104 Transmission Control Protocol, Src Port: 4343, Dst Port: 50440, Seq: 1461, Ack: 208, Len: 563 [2 Reassembled TCP Segments (2023 bytes): #65(1460), #66(563)] Secure Sockets Layer TLSv1.1 Record Layer: Handshake Protocol: Multiple Handshake Messages Content Type: Handshake (22) Version: TLS 1.1 (0x0302) Length: 2018 Handshake Protocol: Server Hello Handshake Type: Server Hello (2) Length: 90 Version: TLS 1.1 (0x0302) Random: 5afdadca99776c037d5174f25839dd8a9f464bcc5b2cc19b... Session ID Length: 32 Session ID: ed1e00007de53e9b61c9ff044f564834a2c8e33b08b51f18... Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) Compression Method: null (0) Extensions Length: 18 Extension: application_layer_protocol_negotiation (len=5) Extension: extended_master_secret (len=0) Extension: renegotiation_info (len=1) Handshake Protocol: Certificate Handshake Type: Certificate (11) Length: 1618 Certificates Length: 1615 Certificates (1615 bytes) Handshake Protocol: Server Key Exchange Handshake Type: Server Key Exchange (12) Length: 294 EC Diffie-Hellman Server Params Handshake Protocol: Server Hello Done Handshake Type: Server Hello Done (14) Length: 0
- Nếu tác nhân chấp nhận TLS 1.1, nó sẽ tiếp tục cung cấp TLS 1.1.
2.4 TLS Mis-Match Kết hợp sai TLS– Chỉ máy chủ TLS 1.2 – Chỉ tác nhân TLS 1.1 và SSL 3.0 – Không thành công – Truy vết mạng
- Thủ tục bắt tay 3 bước TCP
16:44:22.880115 4241 8.801447 10.0.2.104 10.0.2.105 TCP 66 50200 → 4343 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM=1 16:44:22.884801 4246 8.806133 10.0.2.105 10.0.2.104 TCP 66 4343 → 50200 [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1460 WS=256 SACK_PERM=1 16:44:22.885278 4247 8.806610 10.0.2.104 10.0.2.105 TCP 54 50200 → 4343 [ACK] Seq=1 Ack=1 Win=262656 Len=0
Sau đó, lệnh Client Hello thì khách hàng báo cho máy chủ biết muốn sử dụng (TLS 1.1) và những mật mã mà nó hỗ trợ. Máy chủ phải chấp nhận với cùng một giao thức và bộ mật mã để tiếp tục giao tiếp.
16:44:22.887075 4248 8.808407 10.0.2.104 10.0.2.105 TLSv1.1 191 Client Hello Frame 4248: 191 bytes on wire (1528 bits), 191 bytes captured (1528 bits) on interface 0 Ethernet II, Src: Microsof_2c:1e:23 (00:15:5d:2c:1e:23), Dst: Microsof_2c:1e:38 (00:15:5d:2c:1e:38) Internet Protocol Version 4, Src: 10.0.2.104, Dst: 10.0.2.105 Transmission Control Protocol, Src Port: 50200, Dst Port: 4343, Seq: 1, Ack: 1, Len: 137 Secure Sockets Layer TLSv1.1 Record Layer: Handshake Protocol: Client Hello Content Type: Handshake (22) Version: TLS 1.1 (0x0302) Length: 132 Handshake Protocol: Client Hello Handshake Type: Client Hello (1) Length: 128 Version: TLS 1.1 (0x0302) Random: 5afdb1662620bc243a189e5aa5b002f2367e8e6cedf00a90... Session ID Length: 0 Cipher Suites Length: 14 Cipher Suites (7 suites) Compression Methods Length: 1 Compression Methods (1 method) Extensions Length: 73 Extension: server_name (len=11) Extension: status_request (len=5) Extension: supported_groups (len=8) Extension: ec_point_formats (len=2) Extension: SessionTicket TLS (len=0) Extension: application_layer_protocol_negotiation (len=14) Extension: extended_master_secret (len=0) Extension: renegotiation_info (len=1)
- Vì phiên bản TLS được tác nhân cung cấp thấp hơn bản thấp nhất mà máy chủ hỗ trợ, máy chủ từ chối kết nối với thiết lập lại TCP.
16:44:22.891009 4249 8.812341 10.0.2.105 10.0.2.104 TCP 54 4343 → 50200 [RST, ACK] Seq=1 Ack=138 Win=0 Len=0
3. Các chứng chỉ
- Việc sử dụng HTTPS cũng tạo yêu cầu về chứng chỉ và xác thực chứng chỉ.
- Tất cả tác nhân OfficeScan XG SP1 và Apex One đều có chứng chỉ tự kí riêng mà họ sử dụng để giao tiếp và xác minh với máy chủ OfficeScan và Apex One. Điều này có thể là vấn đề trong môi trường các cổng kiểm tra HTTPS. Với kiểm tra HTTPS, Cổng bảo mật có thể kiểm tra lưu lượng được mã hóa bởi HTTPS.
- Cổng bảo mật sử dụng các chứng chỉ và trở thành trung gian giữa các máy tính và trang web an toàn của khách hàng. Điều này gây vấn đề là OfficeScan sẽ không tin vào chứng chỉ của Cổng bảo mật.
- Do đó, lưu lượng tác nhân phải bị loại trừ khỏi Kiểm tra HTTPS trên các sản phẩm Cổng bảo mật.
a) Hoàn về lưu lượng truy cập HTTP
-> Mục này không áp dụng cho Apex One bởi vì hệ thống không được hỗ trợ.
Việc thay đổi kênh giao tiếp giữa tác nhân và máy chủ sang HTTP sẽ tạo lỗi không tương thích khi Chuyển tác nhân OfficeScan sang dịch vụ Apex One tại máy.
Trong một số trường hợp vì mục đích tương thích hoặc kiểm tra hệ thống mạng, lưu lượng có thể cần được hoàn về HTTP.
Để hoàn về giao tiếp trước OfficeScan XG SP1 hãy:
1. Xác thực rằng bạn đang sử dụng phiên bản OfficeScan XG SP1 Build 4453 hoặc trở về sau.
2. Tạo một bản sao của ofcscan.ini (C:\Program Files (x86)\Trend Micro\OfficeScan\PCCSRV).
3. Dừng dịch vụ OfficeScan Master
4. Thực hiện các thay đổi sau lên ofcscan.ini, tức là chạy Notepad bằng quyền Quản trị viên để lưu các thay đổi:
- Để chuyển lại giao tiếp HTTP, thêm/đổi các dòng sau thành:
ASE = 0
-> Cần có cả 2 dòng.
- Để chuyển lại kết nối HTTPS, thay đổi giá trị thành:
ASE = 1
-> Thay đổi các giá trị. Không chỉ xóa dòng do có thể dẫn đến lỗi giao tiếp.
5. Lưu tệp dưới dạng ofcscan.ini
6. Khởi động lại dịch vụ OfficeScan Master
7. Đăng nhập vào bảng điều khiển web OfficeScan và nhấp vào Agents > Global Agent Settings.
8. Nhấn Save ngay cả khi không thực hiện thay đổi.
9. Đợi một lát, sau đó kiểm tra tệp ofcscan.ini vừa được lưu và xác thực giá trị ASE bằng “0”.
10. Gỡ và tải lại OfficeScan trên máy thử nghiệm.
11. Để xác nhận các thay đổi trên máy thử nghiệm, kiểm tra các mục sau:
- dành cho nền tảng x64: [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion\]
- dành cho nền tảng x86: [HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\]
Mã: ASE
Dạng: REG_DWORD
Gía trị: 0
b) Liên hệ hỗ trợ
Nếu bạn vẫn gặp khó khăn trong việc giải quyết vấn đề, vui lòng chuẩn bị sẵn các thông tin sau khi Đơn báo lỗi của bạn được phản hồi:
1. Truy cập Trung tâm tải dữ liệu của Trend Micro và tải Công cụ chuẩn đoán lỗi
2. Chạy chương trình trên điểm cuối lỗi và máy chủ OfficeScan.
3. Đặt dấu kiểm bên cạnh OSCE_12Agent trên điểm cuối và OSCE_12Server trên máy chủ, sau đó kiểm tra Thông tin cơ bản và Sự cố kết nối
4. Nhấp vào Next và chọn nút Start Debug Mode đến khi hiển thị ON trên cả hai.
5. Bắt đầu Truy vết hệ thống mạng sử dụng Wireshark hoặc chương trình truy vết được tích hợp sẵn trong Windows: Netsh trace start capture=yes maxsize=2048 persistent=yes tracefile=C:\%computername%.etl
- Captures dùng để lệnh hệ thống nắm bắt lưu lượng mạng.
- Scenatio cho phép chúng tôi nắm bắt thêm thông tin nội bộ mà Windows cung cấp trong khi truy vết.
- MaxSize giới hạn kích cỡ tệp tin ( tín bằng MB) để nó không lấp đầy ổ đĩa. Điều này có thể cần được điều chỉnh rộng hơn. ( Vui lòng không truy quá 4GB trong một lần)
- Persistent cho phép hệ thống hoạt động trở lại ngay khi máy khởi động lại. Điề này không phải lúc nào cũng cần thiết nhưng hữu ích khi chúng tôi cần truy vết việc gì đã xảy ra trong khi khởi động lại, hoặc khi máy đang lên lại.
- Tracelife cho hệ thống biết nơi nào cần lưu vết. Tệp tin phải được tạo sẵn trên máy.
Trường hợp tốt nhất, chúng tôi muốn có một dấu vết tương đồng từ cả 2 đầu giao tiếp. Nếu không thể, vui lòng tiếp tục thu thập truy vết từ các máy.
6. Ở OfficeScan trên điểm cuối bị lỗi, chọn Update Now.
7. Sau khi hoàn tất, chọn Stop Debug Mode.
8. Dừng Wireshark hoặc chạy dừng truy vết netsh trace để dừng lệnh truy vết Windows.
- Nếu sử dụng truy vết của Windows, nó sẽ lưu và tương quan thông tin. Sau khi hoàn thành, bạn sẽ có tệp tin đuôi .cab và .etl có thể được tải lên. Hãy nén chung lại để tải lên.
- Nếu sử dụng Wireshark, nén tệp pcapng để tải lên
9. Nhấn Next trong CDT.
10. Chọn Today’s Logs và nhấn Next.
11. Ghi nhớ tên mục nén được tải và nhấn nút Open Folder .
12. Tải tệp nén đó lên, cùng với PCAPNG hoặc ETL/CAB từ đợt truy vết mạng lên Đơn báo lỗi của bạn khi họ cung cấp đường tải.
Biên dịch bởi Thanh Hiền – Help.pacisoft.com