Forcimi i Shërbimeve SSL në Web Serverin tuaj (Apache/ Linux): 3 hapa

2024 Autor: John Day | [email protected]. E modifikuara e fundit: 2024-01-30 12:27

Ky është një mësim shumë i shkurtër që merret me një aspekt të sigurisë kibernetike - fuqinë e shërbimit ssl në serverin tuaj të internetit. Sfondi është se shërbimet ssl në faqen tuaj të internetit përdoren për të siguruar që askush nuk mund të hakojë të dhënat të cilat transmetohen në dhe nga faqja juaj e internetit. Ka pasur sulme të publikuara mirë ndaj shërbimeve të cenueshme SSL siç është defekti Heartbleed në OpenSSL dhe gabimi Poodle i cili shfrytëzoi dobësitë SSL 3.0. (Kjo zonë është një objektiv lëvizës kështu që ju duhet të ndërtoni testimin SSL në ciklin tuaj ISO 27001 plan-bëni-kontrolloni (PDCA).)

Kur ssl është instaluar në faqen tuaj në internet duke përdorur një certifikatë nga një ofrues i njohur, do të shihni që faqja juaj e internetit mund të arrihet nga https://yourdomain.com. Kjo do të thotë që të dhënat transmetohen para dhe përpara në format të koduar. Në të kundërt, https://yourdomain.com ose kriptimi i dobët ekspozon të dhënat e transmetuara në tekst të qartë, që do të thotë se edhe një haker i vogël mund të hyjë në të dhënat tuaja të fjalëkalimit etj duke përdorur mjete të disponueshme si Wireshark.

Për pjesën tjetër të këtij mësimi, unë supozoj se do të përdorni Apache si serverin tuaj të internetit në Linux dhe se keni qasje në serverin tuaj të internetit përmes një emulatori terminal siç është stuko. Për thjeshtësi, unë gjithashtu do të supozoj se ISP-ja juaj ka siguruar certifikatën tuaj SSL dhe ju keni aftësinë për të ri-konfiguruar disa aspekte të saj.

Hapi 1: Testimi i fuqisë së shërbimit tuaj SSL

Thjesht shkoni te https://www.ssllabs.com/ssltest/ dhe shkruani emrin e domenit tuaj pranë kutisë Emri i hostit dhe zgjidhni kutinë e kontrollit "Mos i shfaq rezultatet në tabela" dhe klikoni në butonin e dorëzimit. (Ju lutemi vini re se nuk duhet të testoni asnjë domen pa leje paraprake dhe nuk duhet të shfaqni kurrë rezultate në dërrasa.)

Pasi të jenë kryer testet, do t'ju caktohet një rezultat nga F në A+. Do t'ju jepen një rezultat të detajuar të testit i cili shpresojmë se ju bën të qartë pse ju është dhënë rezultati juaj i caktuar.

Arsyet e zakonshme të dështimit janë sepse po përdorni komponentë të vjetëruar, siç janë shifrat ose protokollet. Së shpejti do të përqendrohem në shifrat, por së pari një fjalë të shpejtë në lidhje me protokollet kriptografike.

Protokollet kriptografike ofrojnë siguri komunikimi mbi një rrjet kompjuterik. … Lidhja është private (ose e sigurt) sepse kriptografia simetrike përdoret për të kriptuar të dhënat e transmetuara. Dy protokollet kryesore janë TLS dhe SSL. Ky i fundit është i ndaluar të përdoret dhe nga ana tjetër, TLS po evoluon dhe kështu që ndërsa e shkruaj këtë, versioni i fundit është 1.3, megjithëse në format draft. Në aspektin praktik, në Janar 2018, duhet të keni vetëm TLS v 1.2. aktivizuar. Me siguri do të ketë një lëvizje në TLV v 1.3. gjatë vitit 2018. Testi Qualys do të listojë se cilat protokolle kriptografike keni aplikuar dhe aktualisht, nëse përdorni më poshtë TLS v 1.2., do të merrni një rezultat të dobët.

Një gjë e fundit për të thënë në lidhje me protokollet kriptografike, kur blini një paketë në internet dhe certifikatë SSL nga një ISP i zakonshëm siç është GoDaddy, do të jetë TLS v 1.2. e cila është e mirë, por më poshtë, mund ta keni të vështirë të azhurnoni për të thënë TLS v 1.3. Personalisht, unë instaloj certifikatat e mia SSL dhe prandaj jam në kontroll të fatit tim, të them kështu.

Hapi 2: Konfigurimi i Apache për të bërë ndryshime në SSL

Një nga fushat e rëndësishme e cila është testuar në testin Qualys SSL dhe fokusi i këtij seksioni është suita Cipher të cilat përcaktojnë fuqinë e kriptimit të të dhënave tuaja të transmetuara. Këtu është një shembull i daljes nga një test Qualys SSL në një nga domenet e mia.

Shifrës Suites # TLS 1.2 (suita në server-i preferuar rendit) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (eq. 3072 bit RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (EQ. 3072 bit RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (EQ. 3072 bit RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (eq. 3072 bit RSA) FS128

Ju mund të kaloni shumë kohë duke ri-konfiguruar konfigurimin tuaj Apache për të hequr vijat e kuqe (dështon) nga raporti juaj i testit Qualys, por unë rekomandoj qasjen e mëposhtme për të marrë cilësimet më të mira të Cipher Suite.

1) Vizitoni uebfaqen e Apache dhe nxirrni rekomandimet e tyre për një Suite Cipher për t'u përdorur. Në kohën e shkrimit, ndoqa këtë lidhje -

2) Shtoni cilësimin e rekomanduar në skedarin tuaj të konfigurimit Apache dhe rinisni Apache. Ky ishte cilësimi i tyre i rekomanduar të cilin e kam përdorur.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305-ECDH-E25-E356: ECDH-E256 -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

Shënime - Një nga sfidat është të gjeni se cilin skedar ju nevojitet për të ndryshuar direktivën tuaj SSLCipherSuite, Për ta bërë këtë, hyni në Putty dhe hyni në drejtorinë etj (sudo cd /etc) Kërkoni një drejtori apache siç është apache2 ose http. Tjetra, bëni një kërkim në drejtorinë apache si më poshtë: grep -r "SSLCipherSuite" /etc /apache2 - Kjo do t'ju japë një dalje të ngjashme me këtë:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH: MEDIUM:! aNULL:! MD5:! RC4:! DES/etc/apache2/mods-available/ssl.conf: #SSLCipherSuite HIGH:! aNULL: ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH+3DES: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

Gjëja e rëndësishme që duhet të theksohet është skedari /etc/apache2/mods-available/ssl.conf ose çfarëdo që është e juaja. Hapni skedarin duke përdorur një redaktues të tillë si nano dhe shkoni te seksioni # SSL Cipher Suite:. Tjetra zëvendësoni hyrjen ekzistuese në direktivën SSLCipherSuite me atë të mësipërm nga faqja e internetit Apache. Mos harroni të komentoni direktivat më të vjetra SSLCipherSuite dhe rinisni Apache - në rastin tim, e bëra këtë duke shtypur sudo /etc/init.d/apache2 restart

Vini re se ndonjëherë ju mund të keni nevojë të hiqni shifra të veçantë që ju japin një rezultat të ulët të testit Qualys SSL (të themi sepse janë zbuluar dobësi të reja) edhe pse keni përdorur cilësimet e rekomanduara të Apache. Një shembull është nëse rreshti i mëposhtëm shfaqet me të kuqe (dështon) në raportin tuaj Qualys TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Hapi i parë është të gjeni kodin që ju nevojitet për të ndryshuar në direktivën tuaj Apache SSLCipherSuite. Për të gjetur kodin, shkoni te https://www.openssl.org/docs/man1.0.2/apps/ciphers…-kjo tregon kodin si më poshtë: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

Merrni ECDHE-RSA-AES256-GCM-SHA384 dhe hiqeni nga hyrja që keni shtuar si direktivë Apache Apache SSLCipherSuite dhe më pas shtojeni deri në fund duke e paraprirë me:!

Përsëri, rinisni Apache dhe provoni përsëri

Hapi 3: Përfundimi

Unë kam që ju keni mësuar diçka në lidhje me testimin SSL. Ka shumë më tepër për të mësuar në lidhje me këtë, por me shpresë, unë ju kam treguar në drejtimin e duhur. Në mësimet e mia të ardhshme, unë do të mbuloj fusha të tjera të Sigurisë Kibernetike, kështu që qëndroni të sintonizuar.