最新消息

2024/02/02 [專欄]Paessler PRTG 內的安全通訊(Secure communication within Paessler PRTG)

[專欄]Paessler PRTG 內的安全通訊(Secure communication within Paessler PRTG)

原文由 Alexandros Toptsoglou 於 2023 年 12 月 18 日發表
最後更新於 2023 年 12 月 18 日


在快速發展的網路安全環境中,安全至關重要。Paessler 公司了解其安全的重要性,致力於提供強大且安全的網路監控解決方案。 在本文章中,我們將探討 Paessler PRTG 如何確保傳輸資料的機密性和完整性。一般來說,我們將探討如何建立安全通訊,以及您可以使用那些選項來進一步改進您的設定。

加密通訊
預設情況下,PRTG 對其元件之間的通訊進行加密,這表示 PRTG Web 伺服器和偵測器之間的通訊使用 SSL/TLS 協定進行保護。一般來說,PRTG 可以設定為僅使用 HTTPS 與安全密碼結合,例如支援 TLS 1.3(如果使用者的設定允許,建議使用),預設僅允許最先進的安全密碼。雖然 TLS 1.2 也非常好,但使用者應該知道它也帶來了一些弱密碼(例如 ECDHE-RSA-AES256-SHA384 和 ECDHE-RSA-AES256-SHA)

使用者可以根據自己的需求透過編輯註冊表項來準確指定允許使用那些密碼。由於這可能是一個容易出錯的操作,可能導致 PRTG 無法使用,因此我們鼓勵您開立 Ticket 來表達您的確切需求,並獲得滿足這些需求的合適配置。

以下是指示 PRTG Web 伺服器僅允許 TLS 1.3 的範例:
1. 開啟 regedit.exe
2. 前往路徑 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Paessler\PRTG Network Monitor\Server\Webserver
3. 建立一個新的 DWORD(32 位元)
 1) 名稱:OverrideSSLVersionV2
 2) 值:128(十進位)
4. 使用 PRTG 管理工具重新啟動 PRTG 核心伺服器服務

另一個範例是限制 PRTG Web 伺服器僅使用 TLS 1.2 並停用預設啟用的 CBC 密碼:
1. 開啟 regedit.exe
2. 前往路徑 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Paessler\PRTG Network Monitor\Server\Webserver
3. 建立一個新的 DWORD(32 位元)
 1) 名稱:OverrideSSLVersionV2
 2) 值:64(十進位)

4. 使用以下命令建立一個新字串
 1) 名稱:OverrideSSLCipherV2
 2) 值:ECDH+AESGCM
5. 使用 PRTG 管理工具重新啟動 PRTG 核心伺服器服務

這將使 PRTG Web 伺服器僅接受具有下列密碼的 TLS 1.2:
.ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256
請注意,要使上述工作正常進行,OverrideSSLVersionV2 和 OverrideSSLCipherV2 都應出現在註冊表中。

OpenSSL 的角色
為了使用上述所有協定和密碼,PRTG 不使用自訂實現,這可能會引入錯誤。它依賴OpenSSL 1.1.1,未來將升級到OpenSSL 3。OpenSSL 是一款備受信賴且業界認可的加密作業的開源軟體。

當 OpenSSL 的更新發佈時,我們的安全團隊會審查漏洞修復 (CVE) 並執行上下文分析。這使我們能夠規劃更新嵌入式 OpenSSL 版本的速度。 對維護的堅持是我們的核心價值之一,我們確保 OpenSSL 也能及時更新,即使我們目前的版本沒有帶來主動影響 PRTG 的漏洞。

作為客戶,您可以隨時在我們的幫助台入口網站上開立 Ticket,以取得有關協議支援、特定設定或 CVE 修復的說明。

輸入驗證
除了 SSL/TLS 實施之外,PRTG 還可以保護使用者免受各種網路安全威脅。我們透過在程式碼中強制執行輸入驗證方法來實現這一目標,從而降低跨站點腳本 (XSS) 或路徑遍歷等成功攻擊的風險。然而,由於我們知道沒有 100% 的安全性,因此除了我們的輸入驗證方法之外,我們持續針對我們的 Web 伺服器執行自動安全測試,以進一步提高 PRTG 的防禦能力。

HTTP(自訂)標頭
在所有伺服器請求中,我們都包含 HTTP 標頭。 具體來說,我們使用 X-Content-Type-Options、Content-Security-Policy 和 Cache-Control。儘管 PRTG 尚未正式支援 HSTS 標頭,但我們知道缺少的 HSTS 標頭有時會出現在滲透測試中或來自執行自動安全掃描的工具中。因此,將來我們計劃允許用戶在應用程式伺服器中設定自訂標頭。

目前需要使用 HSTS 標頭的使用者,可以透過在其間部署另一個軟體(例如反向代理)來將標頭新增至請求中。您可以在此知識庫文章中閱讀如何新增代理:使用 nginx Web 伺服器作為 PRTG 的 SSL 代理。

結語
憑藉上述所有安全功能,PRTG 可確保所有傳輸資料的完整性和機密性,同時降低網路攻擊成功的風險。儘管如此,管理員應始終實施進一步的安全措施(例如防火牆、防毒等)來保護其基礎設施。

由於安全對使用者和我們來說都是一個永無止境的故事,因此我們鼓勵每個人透過信箱(security@paessler.com) 與我們聯繫,報告潛在的安全問題或疑慮。

 
.產品網頁
https://www.ahasoft.com.tw/page/product/show.aspx?num=61&kind=70&page=1&lang=TW