SSL -palvelujen vahvistaminen verkkopalvelimellasi (Apache/ Linux): 3 vaihetta

2024 Kirjoittaja: John Day | [email protected]. Viimeksi muokattu: 2024-01-30 09:03

Tämä on hyvin lyhyt opetusohjelma, joka koskee yhtä tietoturvan osa -aluetta - ssl -palvelun vahvuutta verkkopalvelimellasi. Taustalla on, että verkkosivustosi ssl-palveluja käytetään varmistamaan, että kukaan ei voi hakkeroida verkkosivustoosi ja sieltä lähetettäviä tietoja. Haavoittuvia SSL -palveluja, kuten OpenSSL: n Heartbleed -bugia ja Poodle -bugia, joka hyödynsi SSL 3.0 -haavoittuvuuksia, on julkistettu hyvin. (Tämä alue on liikkuva kohde, joten sinun on rakennettava SSL-testaus osaksi ISO 27001 -suunnitelma-tee-tarkista-toimi (PDCA) -sykliäsi.)

Kun ssl on asennettu Web -sivustoosi tunnetun palveluntarjoajan varmenteen avulla, näet, että verkkosivustoosi pääsee osoitteesta https://yourdomain.com. Tämä tarkoittaa, että tiedot siirretään edestakaisin salatussa muodossa. Sitä vastoin https://yourdomain.com tai heikko salaus paljastaa lähetetyt tiedot selkeänä tekstinä, mikä tarkoittaa, että jopa lapsihakkeri voi käyttää salasanatietojasi jne. Helposti saatavilla olevien työkalujen, kuten Wiresharkin, avulla.

Tässä opetusohjelmassa oletan, että käytät Apachea verkkopalvelimena Linuxissa ja että sinulla on pääsy verkkopalvelimeesi pääteemulaattorin, kuten kitin, kautta. Yksinkertaisuuden vuoksi aion myös olettaa, että Internet-palveluntarjoajasi on toimittanut SSL-varmenteen ja sinulla on mahdollisuus määrittää joitakin sen ominaisuuksia uudelleen.

Vaihe 1: SSL -palvelun vahvuuden testaaminen

Mene vain osoitteeseen https://www.ssllabs.com/ssltest/ ja kirjoita verkkotunnuksesi Isäntänimi -ruudun viereen ja valitse "Älä näytä tuloksia taululla" -valintaruutu ja napsauta Lähetä -painiketta. (Huomaa, että sinun ei pitäisi testata mitään verkkotunnuksia ilman ennakkolupaa, eikä sinun pitäisi koskaan näyttää tuloksia taululla.)

Kun testit on suoritettu, sinulle annetaan pisteet F: stä A+: aan. Sinulle annetaan yksityiskohtaiset testitulokset, jotka toivottavasti tekevät sinulle selväksi, miksi sinulle on annettu pisteet.

Tavalliset syyt epäonnistumiseen ovat siksi, että käytät vanhentuneita komponentteja, kuten salauksia tai protokollia. Keskityn salakirjoituksiin pian, mutta ensin nopea sana salausprotokollista.

Salausprotokollat suojaavat tietoliikennettä tietokoneverkon yli. … Yhteys on yksityinen (tai suojattu), koska symmetristä salausta käytetään lähetettyjen tietojen salaamiseen. Kaksi pääprotokollaa ovat TLS ja SSL. Jälkimmäisen käyttö on kielletty, ja TLS kehittyy, joten kirjoittaessani tätä viimeisin versio on 1.3, vaikkakin luonnosmuodossa. Käytännössä tammikuussa 2018 sinulla pitäisi olla vain TLS v 1.2. käytössä. Todennäköisesti siirrytään versioon TLV v 1.3. Qualys -testissä luetellaan, mitä salausprotokollia olet käyttänyt, ja jos käytät TLS -versiota 1.2 alla, saat huonot pisteet.

Viimeinen asia salausprotokollista: kun ostat verkkopaketin ja SSL -varmenteen valtavirran Internet -palveluntarjoajalta, kuten GoDaddy, se on TLS v 1.2. mikä on hyvä, mutta pidemmälle, voi olla vaikeaa päivittää sanomaan TLS v 1.3. Itse asennan omat SSL -varmenteeni ja siksi hallitsen omaa kohtaloani niin sanotusti.

Vaihe 2: Apachen määrittäminen uudelleen SSL -muutosten tekemiseksi

Yksi Qualys SSL -testissä testatuista tärkeistä alueista ja tämän osion painopiste on Cipher -sviitit, jotka määrittävät lähettämäsi datan salausvoimakkuuden. Tässä on esimerkkituotos Qualys SSL -testistä yhdellä verkkotunnuksistani.

Salakirjoitusmenetelmät # TLS 1,2 (sviittiä palvelin-edullisessa järjestyksessä) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (ekv. 3072 bittiä RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (ekv. 3072 bittiä RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (ekv. 3072 bittiä RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (ekv. 3072 bittiä RSA) FS128

Saatat viettää paljon aikaa Apache-kokoonpanon uudelleenmäärityksessä poistamaan punaiset viivat (epäonnistuvat) Qualys-testiraportistasi, mutta suosittelen seuraavaa tapaa saada parhaat Cipher Suite -asetukset.

1) Käy Apachen verkkosivustolla ja pyydä heidän suosituksiaan Cipher Suite -ohjelmiston käyttöön. Tätä kirjoitettaessa seurasin tätä linkkiä -

2) Lisää suositeltu asetus Apache -määritystiedostoosi ja käynnistä Apache uudelleen. Tämä oli heidän suosittelemansa asetus, jota käytin.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHE-ECDHE -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

Huomautuksia - Yksi haasteista on löytää, mitä tiedostoa sinun on muutettava SSLCipherSuite -direktiiviin. Voit tehdä tämän kirjautumalla Puttyyn ja kirjautumalla etc -hakemistoon (sudo cd /etc) Etsi apache -hakemisto, kuten apache2 tai http. Tee seuraavaksi haku apache -hakemistosta seuraavasti: grep -r "SSLCipherSuite" /etc /apache2 - Tämä antaa samanlaisen tuloksen:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH: MEDIUM:! aNULL:! MD5:! RC4:! DES/etc/apache2/mods-available/ssl.conf: #SSLCipherSuite HIGH:! aNULL: ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

Tärkeä huomioitava asia on tiedosto /etc/apache2/mods-available/ssl.conf tai mikä tahansa. Avaa tiedosto editorilla, kuten nano, ja siirry osioon # SSL Cipher Suite:. Korvaa seuraavaksi nykyinen SSLCipherSuite -merkintä edellä olevalla Apache -sivuston merkinnällä. Muista kommentoida vanhemmat SSLCipherSuite -direktiivit ja käynnistää Apache uudelleen - minun tapauksessani tein tämän kirjoittamalla sudo /etc/init.d/apache2 restart

Huomaa, että joskus sinun on ehkä poistettava tietyt salaukset, jotka antavat sinulle alhaisen Qualys SSL -testituloksen (esimerkiksi koska uusia haavoittuvuuksia on löydetty), vaikka olet käyttänyt suositeltuja Apache -asetuksia. Esimerkki on, jos seuraava rivi näkyy punaisena (epäonnistuu) Qualys -raportissasi TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Ensimmäinen askel on selvittää, mikä koodi sinun on muutettava Apache SSLCipherSuite -direktiivissäsi. Löydät koodin osoitteesta https://www.openssl.org/docs/man1.0.2/apps/ciphers…-koodi näkyy seuraavasti: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

Ota ECDHE-RSA-AES256-GCM-SHA384 ja poista se Apache Apache SSLCipherSuite -direktiiviksi lisäämästäsi kohdasta ja lisää se loppuun ennen sitä:!

Käynnistä Apache uudelleen ja testaa uudelleen

Vaihe 3: Johtopäätös

Olen oppinut jotain SSL -testauksesta. Tästä on vielä paljon opittavaa, mutta toivottavasti olen osoittanut sinut oikeaan suuntaan. Seuraavissa opetusohjelmissani käsittelen muita kyberturvallisuuden alueita, joten pysy kuulolla.