SSL -teenuste tugevdamine veebiserveris (Apache/ Linux): 3 sammu

2024 Autor: John Day | [email protected]. Viimati modifitseeritud: 2024-01-30 08:50

See on väga lühike õpetus, mis käsitleb ühte küberturvalisuse aspekti - teie veebiserveri ssl -teenuse tugevust. Taustaks on see, et teie veebisaidi ssl-teenuseid kasutatakse selleks, et keegi ei saaks teie veebisaidile ja sealt edastatavaid andmeid häkkida. On olnud hästi avalikustatud rünnakuid haavatavate SSL -teenuste vastu, nagu näiteks Heartbleedi viga OpenSSL -is ja Poodle'i viga, mis kasutas ära SSL 3.0 turvaauke. (See piirkond on liikuv sihtmärk, nii et peate oma ISO 27001 plaani-kontrolli-toimingu (PDCA) tsüklisse integreerima SSL-testimise.)

Kui ssl on teie veebisaidile installitud tunnustatud pakkuja sertifikaadi abil, näete, et teie veebisaidile pääseb juurde aadressilt https://yourdomain.com. See tähendab, et andmeid edastatakse edasi -tagasi krüpteeritud vormingus. Seevastu https://yourdomain.com või nõrk krüptimine paljastab edastatud andmed selge tekstina, mis tähendab, et isegi väike häkker pääseb ligi teie parooliandmetele jne, kasutades kergesti kättesaadavaid tööriistu, näiteks Wireshark.

Selle õpetuse ülejäänud osas eeldan, et kasutate Linuxis oma veebiserverina Apache'i ja teil on juurdepääs oma veebiserverile terminaliemulaatori (nt kitt) kaudu. Lihtsuse huvides eeldan ka, et teie Interneti-teenuse pakkuja on esitanud teie SSL-sertifikaadi ja teil on võimalus selle mõningaid aspekte uuesti konfigureerida.

Samm: SSL -teenuse tugevuse testimine

Minge lihtsalt aadressile https://www.ssllabs.com/ssltest/ ja sisestage oma domeeninimi kasti Hostname kõrval ning märkige ruut „Ära näita tahvlitel tulemusi” ja klõpsake nuppu Esita. (Pange tähele, et te ei tohiks ilma eelneva loata ühtegi domeeni testida ega tulemusi kunagi tahvlitel näidata.)

Pärast testide läbimist määratakse teile skoor F kuni A+. Teile antakse üksikasjalikud testitulemused, mis loodetavasti teevad teile selgeks, miks teile määratud skoor anti.

Tavalised ebaõnnestumise põhjused on see, et kasutate aegunud komponente, näiteks šifreid või protokolle. Peatselt keskendun šifridele, kuid kõigepealt kiire sõna krüptograafiliste protokollide kohta.

Krüptograafilised protokollid pakuvad side turvalisust arvutivõrgu kaudu. … Ühendus on privaatne (või turvaline), kuna edastatavate andmete krüptimiseks kasutatakse sümmeetrilist krüptograafiat. Kaks peamist protokolli on TLS ja SSL. Viimast on keelatud kasutada ja omakorda TLS areneb ja nii, nagu ma seda kirjutan, on viimane versioon 1.3, ehkki mustandivormingus. Praktilises mõttes peaks teil 2018. aasta jaanuari seisuga olema ainult TLS v 1.2. lubatud. Tõenäoliselt minnakse üle versioonile TLV v 1.3. 2018. aasta jooksul. Qualys'i test loetleb, milliseid krüptograafilisi protokolle olete rakendanud ja kui kasutate allpool TLS v 1.2., saate praegu halva tulemuse.

Viimane asi, mida krüptograafiliste protokollide kohta öelda, kui ostate veebipaketi ja SSL -sertifikaadi tavaliselt Interneti -teenuse pakkujalt, näiteks GoDaddy, on see TLS v 1.2. mis on hea, kuid kaugemal, võib teil olla keeruline uuendada versiooni TLS v 1.3. Isiklikult paigaldan oma SSL -sertifikaadid ja seega olen nii -öelda oma saatuse kontrolli all.

Samm: konfigureerige Apache uuesti SSL -i muudatuste tegemiseks

Üks olulisi valdkondi, mida Qualys SSL -testis testitakse ja selle jaotise keskmes on Cipher -komplektid, mis määravad teie edastatud andmete krüptimise tugevuse. Siin on näide väljundist Qualys SSL testist ühel minu domeenil.

Šifrikomplekte # TLS 1.2 (sviiti server-eelistatud järjekorras) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (ekv. 3072 bitti RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (ekv. 3072 bitti RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (ekv. 3072 bitti RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (ekv. 3072 bitti RSA) FS128

Võite kulutada palju aega oma Apache konfiguratsiooni uuesti konfigureerimisele, et eemaldada Qualys testi aruandest punased jooned (ebaõnnestumised), kuid soovitan Cipher Suite'i parimate sätete saamiseks järgmist lähenemisviisi.

1) Külastage Apache veebisaiti ja küsige nende soovitusi Cipher Suite'i kasutamiseks. Kirjutamise ajal järgisin seda linki -

2) Lisage soovitatud säte oma Apache konfiguratsioonifaili ja taaskäivitage Apache. See oli nende soovitatud seade, mida ma kasutasin.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHE-ECDHE-ECA -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

Märkused - Üks väljakutseid on leida, millist faili peate oma SSLCipherSuite direktiivi muutma. Selleks logige sisse Putty ja logige sisse kataloogi etc (sudo cd /etc) Otsige apache kataloogi, näiteks apache2 või http. Seejärel otsige apache kataloogist järgmiselt: grep -r "SSLCipherSuite" /etc /apache2 - see annab teile sarnase väljundi:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH: MEDIUM:! aNULL:! MD5:! RC4:! DES/etc/apache2/mods-available/ssl.conf: #SSLCipherSuite HIGH:! aNULL: ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

Oluline on märkida fail /etc/apache2/mods-available/ssl.conf või mis iganes teie oma. Avage fail redaktori, näiteks nano abil, ja minge jaotisse # SSL Cipher Suite:. Järgmisena asendage olemasolev kirje direktiivis SSLCipherSuite ülalkirjeldatuga Apache veebisaidilt. Pidage meeles vanemate SSLCipherSuite'i direktiivide kommentaare ja taaskäivitage Apache - minu puhul tegin seda, sisestades sudo /etc/init.d/apache2 restart

Pange tähele, et mõnikord peate võib -olla eemaldama teatud šifrid, mis annavad teile madala Qualys SSL -testi tulemuse (näiteks kuna avastati uusi haavatavusi), kuigi olete kasutanud soovitatud Apache seadeid. Näide on see, kui teie Qualysi aruandes TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) on punane (ebaõnnestunud) järgmine rida. Esimene samm on leida Apache SSLCipherSuite'i direktiivis muudetav kood. Koodi leidmiseks minge aadressile https://www.openssl.org/docs/man1.0.2/apps/ciphers…-see näitab koodi järgmiselt: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

Võtke ECDHE-RSA-AES256-GCM-SHA384 ja eemaldage see kirjest, mille lisasite Apache Apache SSLCipherSuite direktiivina, ja lisage see lõppu, kirjutades selle ette:!

Taaskäivitage Apache ja proovige uuesti

3. samm: järeldus

Sain teada, et olete SSL -testimise kohta midagi õppinud. Selle kohta on veel palju õppida, kuid loodetavasti juhtisin teid õiges suunas. Oma järgmistes õpetustes käsitlen teisi küberturvalisuse valdkondi, nii et olge kursis.