配置CRIME漏洞防护
CRIME(Compression Ratio Info-Leak Made Easy)是一种安全漏洞,可用于猜测正在通过 TLS 连接压缩并发送的消息内容。在这样的连接中,事件代理通过在每条消息的基础上重置压缩引擎来防御 CRIME 攻击。
CRIME 防护默认在系统范围内启用,但如有必要,可以禁用。
事件代理上的大多数连接都禁用了 TLS 压缩,因此不会受到 CRIME 漏洞的影响。对于这些连接,此开关不需要且没有效果。
如何确定CRIME防护是启用还是禁用
您可以使用以下 show 命令来显示 CRIME 防护是启用还是禁用:
solace(configure)# show ssl crime-exploit-protection
您将看到类似以下示例的输出,其中显示 CRIME 防护已启用:
CRIME Exploit Protection : Yes
在禁用CRIME防护之前需要考虑的问题
启用 CRIME 防护可能会对性能产生显著影响,特别是在消息较小的情况下,因此如有必要,可以禁用它。
然而,在禁用之前,您应该考虑以下关于潜在攻击者能力的三个是非问题:
出现以下情况的可能性是否较低?
-
攻击者能够作为客户端连接到事件代理?也就是说,连接被连接 ACL 阻止的可能性是否较低?
请参阅配置客户端连接授权,了解如何使用 ACL 控制哪些客户端可以连接的说明。
-
攻击者拥有登录事件代理作为客户端的身份验证凭据?
请参阅配置客户端身份验证,了解选择和使用客户端身份验证方案的说明,这些方案指定了连接客户端可以提供给事件代理以供身份验证的凭据。
-
攻击者被允许在受攻击客户端订阅的主题上发布消息?换句话说,攻击者拥有允许发布到相关主题的发布 ACL 的可能性是否较低?
请参阅配置主题发布权限,了解如何使用 ACL 控制客户端允许发布的主题的说明。
如果您对上述至少一个问题回答“是,可能性较低”,则可以使用以下命令禁用 CRIME 防护:
solace(configure)# no ssl crime-exploit-protection
禁用CRIME防护时的性能提升
禁用 CRIME 防护可以提高同时使用 SSL 和压缩的订阅者的消息吞吐量。
吞吐量可能提升多少?
直接消息订阅者获益最大,吞吐量可能提高高达 500%。保证消息订阅者的吞吐量可能提高高达 150%。相应地,消息 VPN 桥接的吞吐量也会有所提高。
吞吐量提升随消息大小增加而降低
对于直接订阅者,当消息大小接近 10240 字节时,性能提升降至零。对于保证消息订阅者,当消息大小接近 1024 字节时,提升效果消失。
重新启用CRIME防护
如前所述,CRIME 防护默认在系统范围内启用,但如果您已禁用它,可以使用以下命令重新启用:
solace(configure)# ssl crime-exploit-protection
使用配置键启用或禁用CRIME防护
如果您使用的是软件事件代理,可以通过使用 tls/crimeexploitprotection/enable 配置键在创建事件代理时指定 CRIME 防护的状态。有关此配置键和其他配置键的更多信息,请参阅软件事件代理的配置键。