Az SSL -szolgáltatások megerősítése a webszerveren (Apache/ Linux): 3 lépés

2024 Szerző: John Day | [email protected]. Utoljára módosítva: 2024-01-30 09:43

Ez egy nagyon rövid oktatóanyag, amely a kiberbiztonság egyik aspektusával foglalkozik - az ssl szolgáltatás erősségével a webszerveren. A háttér az, hogy a webhelyén található ssl szolgáltatásokat annak biztosítására használják, hogy senki ne tudja feltörni a webhelyére és onnan továbbított adatokat. Jól nyilvános támadások történtek olyan sebezhető SSL -szolgáltatások ellen, mint például az OpenSSL Heartbleed hibája és az SSL 3.0 biztonsági réseket kihasználó Poodle hiba. (Ez a terület mozgó célpont, ezért be kell építeni az SSL-tesztelést az ISO 27001 terv-csinálás-ellenőrzés-cselekvés (PDCA) ciklusába.)

Ha egy elismert szolgáltató tanúsítványa segítségével telepíti az ssl -t a webhelyére, látni fogja, hogy webhelye a https://sajatdomain.com címen érhető el. Ez azt jelenti, hogy az adatokat titkosított formátumban továbbítják előre és hátra. Ezzel szemben a https://sajatdomain.com vagy a gyenge titkosítás világos szövegben tárolja az átvitt adatokat, ami azt jelenti, hogy még egy gyerekes hacker is hozzáférhet a jelszavaihoz stb. A könnyen elérhető eszközök, például a Wireshark használatával.

Az oktatóanyag további részében feltételezem, hogy az Apache -t fogja használni webkiszolgálóként Linuxon, és hogy hozzáférhet a webszerverhez egy terminál -emulátoron, például gitten keresztül. Az egyszerűség kedvéért azt is feltételezem, hogy az internetszolgáltatója megadta az SSL-tanúsítványát, és Ön képes újrakonfigurálni annak egyes aspektusait.

1. lépés: Az SSL szolgáltatás erősségének tesztelése

Egyszerűen lépjen a https://www.ssllabs.com/ssltest/ oldalra, és írja be domainnevét a Hostname mező mellett, és jelölje be a „Ne jelenítse meg az eredményeket a táblákon” jelölőnégyzetet, majd kattintson a Küldés gombra. (Kérjük, vegye figyelembe, hogy előzetes engedély nélkül ne teszteljen semmilyen domaint, és soha ne mutasson eredményt a táblákon.)

A tesztek lefutása után az F -től A+-ig pontszámot kap. Részletes vizsgálati eredményeket fog kapni, amelyek remélhetőleg egyértelművé teszik számodra, hogy miért kaptad a kijelölt pontszámot.

A sikertelenség leggyakoribb oka az, hogy elavult összetevőket, például rejtjeleket vagy protokollokat használ. Hamarosan a titkosításokra fókuszálok, de először egy rövid szót a kriptográfiai protokollokról.

A kriptográfiai protokollok biztosítják a kommunikáció biztonságát a számítógépes hálózaton keresztül. … A kapcsolat privát (vagy biztonságos), mert szimmetrikus titkosítást használnak az átvitt adatok titkosítására. A két fő protokoll a TLS és az SSL. Utóbbi használata tilos, viszont a TLS fejlődik, és ahogy ezt írom, a legújabb verzió 1.3, bár vázlat formátumban. Gyakorlati szempontból 2018 januárjában csak a TLS v 1.2 verziója szükséges. engedélyezve. Valószínűleg áttérünk a TLV v 1.3 -ra. 2018 folyamán. A Qualys teszt felsorolja, hogy milyen kriptográfiai protokollokat alkalmazott, és jelenleg, ha a TLS v 1.2 alatt használja, rossz pontszámot kap.

Még egy utolsó mondanivaló a kriptográfiai protokollokról: amikor webcsomagot és SSL -tanúsítványt vásárol egy mainstream internetszolgáltatótól, például a GoDaddytől, az TLS v 1.2 lesz. ami jó, de a sorban lejjebb nehézséget okozhat a TLS v 1.3 verzióra való frissítés. Személy szerint én telepítem saját SSL -tanúsítványaimat, és így én irányíthatom saját sorsomat.

2. lépés: Az Apache újrakonfigurálása az SSL módosításához

Az egyik fontos terület, amelyet a Qualys SSL teszt tesztel, és ennek a szakasznak a középpontjában a Cipher csomagok állnak, amelyek meghatározzák az átvitt adatok titkosítási erősségét. Íme egy példa a Qualys SSL teszt eredményeiből az egyik domainemen.

Számsorok # TLS 1.2 (lakosztályok kiszolgáló-preferált sorrendben) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (ekv. 3072 bites RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (ekv. 3072 bites RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (ekv. 3072 bit RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (3072 bites egyenértékű RSA) FS128

Sok időt tölthet az Apache konfigurációjának újrakonfigurálásával, hogy eltávolítsa a piros vonalakat (sikertelen) a Qualys tesztjelentésből, de a következő módszert javaslom a Cipher Suite legjobb beállításainak eléréséhez.

1) Látogasson el az Apache webhelyére, és tegye meg javaslatait a Cipher Suite használatához. Íráskor ezt a linket követtem -

2) Adja hozzá az ajánlott beállítást az Apache konfigurációs fájljához, és indítsa újra az Apache programot. Ez volt az általuk javasolt beállítás, amit használtam.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHE-ECDHE -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

Megjegyzések - Az egyik kihívás az, hogy megtalálja, melyik fájlra van szüksége az SSLCipherSuite irányelv módosításához. Ehhez jelentkezzen be a Putty -ba, és jelentkezzen be az etc könyvtárba (sudo cd /etc) Keressen egy apache könyvtárat, például apache2 vagy http. Ezután végezzen keresést az apache könyvtárban az alábbiak szerint: grep -r "SSLCipherSuite" /etc /apache2 - Ezzel hasonló kimenetet kap:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH: MEDIUM:! aNULL:! MD5:! RC4:! DES/etc/apache2/mods-available/ssl.conf: #SSLCipherSuite HIGH:! aNULL: ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

Fontos megjegyezni, hogy az /etc/apache2/mods-available/ssl.conf fájl vagy bármi más a tiéd. Nyissa meg a fájlt egy szerkesztővel, például nano -val, és menjen a # SSL Cipher Suite: szakaszhoz. Ezután cserélje le az SSLCipherSuite irányelv meglévő bejegyzését a fenti Apache webhelyről. Ne feledje megjegyezni a régebbi SSLCipherSuite utasításokat, és indítsa újra az Apache -t - az én esetemben ezt a sudo /etc/init.d/apache2 restart géppel írtam

Ne feledje, hogy előfordulhat, hogy el kell távolítania bizonyos titkosítási kódokat, amelyek alacsony Qualys SSL tesztpontszámot adnak Önnek (mondjuk azért, mert új biztonsági réseket fedeztek fel) annak ellenére, hogy az ajánlott Apache -beállításokat használta. Példa erre, ha a következő sor pirossal jelenik meg (sikertelenül) a Qualys jelentésben TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Az első lépés az, hogy megtudja, melyik kódot kell megváltoztatnia az Apache SSLCipherSuite irányelvben. A kód megtalálásához látogasson el a https://www.openssl.org/docs/man1.0.2/apps/ciphers… oldalra-ez a kódot mutatja a következőképpen: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

Vegye ki az ECDHE-RSA-AES256-GCM-SHA384 elemet, és távolítsa el az Apache Apache SSLCipherSuite direktívaként hozzáadott bejegyzésből, majd adja hozzá a végéhez a következővel:

Ismét indítsa újra az Apache programot, és próbálja újra

3. lépés: Következtetés

Úgy tudom, tanult valamit az SSL -tesztelésről. Sokat kell még tanulni erről, de remélhetőleg jó irányba tereltem. Következő oktatóanyagaimban a kiberbiztonság más területeivel foglalkozom, így maradjon velünk.