Styrking av SSL -tjenester på webserveren din (Apache/ Linux): 3 trinn

2024 Forfatter: John Day | [email protected]. Sist endret: 2024-01-30 11:25

Dette er en veldig kort opplæring som omhandler ett aspekt av cybersikkerhet - styrken til ssl -tjenesten på webserveren din. Bakgrunnen er at ssl-tjenester på nettstedet ditt brukes til å sikre at ingen kan hacke data som overføres til og fra nettstedet ditt. Det har vært godt publiserte angrep på sårbare SSL -tjenester som Heartbleed -feilen i OpenSSL og Poodle -buggen som utnyttet SSL 3.0 -sårbarheter. (Dette området er et bevegelig mål, så du må bygge SSL-testing i din ISO 27001 plan-do-check-act (PDCA) syklus.)

Når ssl er installert på nettstedet ditt ved hjelp av et sertifikat fra en anerkjent leverandør, vil du se at nettstedet ditt kan nås fra https://yourdomain.com. Dette betyr at data overføres frem og tilbake i kryptert format. I kontrast, avslører https://yourdomain.com eller svak kryptering overførte data i klartekst, noe som betyr at selv en liten hacker kan få tilgang til passorddataene dine osv. Ved å bruke lett tilgjengelige verktøy som Wireshark.

For resten av denne opplæringen antar jeg at du kommer til å bruke Apache som din webserver på Linux og at du har tilgang til webserveren din via en terminalemulator som kitt. For enkelhets skyld vil jeg også anta at Internett-leverandøren din har levert SSL-sertifikatet ditt, og at du har mulighet til å konfigurere noen aspekter av det på nytt.

Trinn 1: Test av styrken til SSL -tjenesten din

Bare gå til https://www.ssllabs.com/ssltest/ og skriv inn domenenavnet ditt ved siden av Hostname -boksen, og merk av for "Ikke vis resultatene på tavlene" og klikk på send -knappen. (Vær oppmerksom på at du ikke bør teste noen domener uten forhåndstillatelse, og du bør aldri vise resultater på tavlene.)

Etter at testene er kjørt, vil du bli tildelt en score fra F til A+. Du vil få detaljerte testresultater som forhåpentligvis gjør det åpenbart for deg hvorfor du har fått din tildelte poengsum.

De vanlige årsakene til å mislykkes er fordi du bruker utdaterte komponenter, for eksempel chiffer eller protokoller. Jeg vil snart fokusere på chiffer, men først et raskt ord om kryptografiske protokoller.

Kryptografiske protokoller gir kommunikasjonssikkerhet over et datanettverk. … Tilkoblingen er privat (eller sikker) fordi symmetrisk kryptografi brukes til å kryptere dataene som overføres. De to hovedprotokollene er TLS og SSL. Sistnevnte er forbudt å bruke, og i sin tur utvikler TLS seg. Så mens jeg skriver dette, er den siste versjonen 1.3, om enn i utkastformat. Praktisk sett, som i januar 2018, bør du bare ha TLS v 1.2. aktivert. Det vil trolig være et skifte til TLV v 1.3. i løpet av 2018. Qualys -testen viser hvilke kryptografiske protokoller du har brukt, og hvis du bruker under TLS v 1.2., får du en dårlig poengsum.

En siste ting å si om kryptografiske protokoller, når du kjøper en webpakke og SSL -sertifikat fra en vanlig ISP som GoDaddy, vil det være TLS v 1.2. som er bra, men lenger ned på linjen kan det være vanskelig å oppgradere til å si TLS v 1.3. Personlig installerer jeg mine egne SSL -sertifikater, og jeg har derfor kontroll over min egen skjebne, for å si det sånn.

Trinn 2: Rekonfigurering av Apache for å gjøre SSL -endringer

Et av de viktige områdene som er testet i Qualys SSL -test og fokus for denne delen er Cipher -suiter som bestemmer krypteringsstyrken til de overførte dataene dine. Her er et eksempel på utdata fra en Qualys SSL -test på et av domenene mine.

Chiffreringssamlinger # TLS 1,2 (Inn i server-foretrukket rekkefølge) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (ekv. 3072 bits RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (ekv. 3072 bits RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (ekv. 3072 bits RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (eq. 3072 bits RSA) FS128

Du kan bruke mye tid på å konfigurere Apache-konfigurasjonen på nytt for å fjerne røde linjer (mislykkes) fra Qualys testrapport, men jeg anbefaler følgende fremgangsmåte for å få de beste Cipher Suite-innstillingene.

1) Besøk Apache -nettstedet og få anbefalingene deres for en Cipher Suite å bruke. I skrivende stund fulgte jeg denne lenken -

2) Legg til den anbefalte innstillingen i din Apache -konfigurasjonsfil og start Apache på nytt. Dette var deres anbefalte innstilling som jeg brukte.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHE-ECDSA -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

Merknader - En av utfordringene er å finne hvilken fil du trenger for å endre SSLCipherSuite -direktivet. For å gjøre dette, logg på Putty og logg inn på etc -katalogen (sudo cd /etc) Se etter en apache -katalog som apache2 eller http. Søk deretter i apache -katalogen som følger: grep -r "SSLCipherSuite" /etc /apache2 - Dette gir deg en utgang som ligner denne:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH: MEDIUM:! aNULL:! MD5:! RC4:! DES/etc/apache2/mods-available/ssl.conf: #SSLCipherSuite HIGH:! aNULL: ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH+3DES: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

Det viktige å merke seg er filen /etc/apache2/mods-available/ssl.conf eller det som er ditt. Åpne filen ved hjelp av et editor som nano og gå til seksjonen # SSL Cipher Suite:. Deretter erstatter du den eksisterende oppføringen i direktivet SSLCipherSuite med den ovenfor fra Apache -nettstedet. Husk å kommentere eldre SSLCipherSuite -direktiver og start Apache på nytt - i mitt tilfelle gjorde jeg dette ved å skrive sudo /etc/init.d/apache2 restart

Vær oppmerksom på at du noen ganger må fjerne spesifikke chiffer som gir deg en lav Qualys SSL -testpoeng (si fordi nye sårbarheter er oppdaget), selv om du har brukt de anbefalte Apache -innstillingene. Et eksempel er hvis følgende linje vises med rødt (mislykkes) på Qualys -rapporten TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Det første trinnet er å finne hvilken kode du trenger å endre i Apache SSLCipherSuite -direktivet. For å finne koden, gå til https://www.openssl.org/docs/man1.0.2/apps/ciphers…-denne viser koden som følger: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

Ta ECDHE-RSA-AES256-GCM-SHA384 og fjern den fra oppføringen du la til som Apache Apache SSLCipherSuite-direktivet, og legg den deretter til slutten ved å gå foran den med:!

Igjen, start Apache på nytt og test på nytt

Trinn 3: Konklusjon

Jeg har at du har lært noe om SSL -testing. Det er mye mer å lære om dette, men forhåpentligvis har jeg pekt deg i riktig retning. I mine neste opplæringsprogrammer vil jeg dekke andre områder innen Cyber Security, så følg med.