Jačanje SSL usluga na vašem web serveru (Apache/ Linux): 3 koraka

2024 Autor: John Day | [email protected]. Zadnja izmjena: 2024-01-30 08:08

Ovo je vrlo kratak vodič koji se bavi jednim aspektom kibernetičke sigurnosti - snagom ssl usluge na vašem web serveru. Pozadina je da se ssl usluge na vašoj web stranici koriste kako bi se osiguralo da nitko ne može hakirati podatke koji se prenose na vašu web stranicu i s nje. Bilo je dobro objavljenih napada na ranjive SSL usluge, kao što je Heartbleed bug u OpenSSL -u i Poodle bug koji je iskorištavao SSL 3.0 ranjivosti. (Ovo područje je pokretna meta pa morate ugraditi SSL testiranje u svoj ciklus planiranja, do-provjeri-djela (PDCA) ISO 27001.)

Kada se ssl instalira na vašu web stranicu pomoću certifikata priznatog dobavljača, vidjet ćete da se vašoj web stranici može pristupiti s https://vaše domene.com. To znači da se podaci prenose naprijed -nazad u šifriranom formatu. Nasuprot tome, https://yourdomain.com ili slaba enkripcija otkriva prenesene podatke u čistom tekstu, što znači da čak i dječji haker može pristupiti vašim podacima o lozinkama itd. Pomoću lako dostupnih alata kao što je Wireshark.

U ostatku ovog vodiča pretpostavljam da ćete koristiti Apache kao svoj web poslužitelj na Linuxu i da imate pristup svom web poslužitelju putem emulatora terminala, poput kita. Radi jednostavnosti, također ću pretpostaviti da je vaš ISP dao vaš SSL certifikat i da imate mogućnost da ponovno konfigurirate neke njegove aspekte.

Korak 1: Testiranje snage vaše SSL usluge

Jednostavno idite na https://www.ssllabs.com/ssltest/ i unesite naziv svoje domene pored okvira Hostname i potvrdite okvir "Ne prikazuj rezultate na pločama" i kliknite na dugme za slanje. (Imajte na umu da ne biste trebali testirati nijednu domenu bez prethodnog dopuštenja i nikada ne biste trebali prikazivati rezultate na pločama.)

Nakon obavljenih testova, bit će vam dodijeljen rezultat od F do A+. Dobit ćete detaljne rezultate testa koji će vam, nadamo se, pojasniti zašto ste dobili dodijeljeni rezultat.

Uobičajeni razlozi za neuspjeh su zato što koristite zastarjele komponente kao što su šifre ili protokoli. Uskoro ću se fokusirati na šifre, ali prvo kratko o kriptografskim protokolima.

Kriptografski protokoli pružaju komunikacionu sigurnost preko računarske mreže. … Veza je privatna (ili sigurna) jer se simetrična kriptografija koristi za šifriranje prenesenih podataka. Dva glavna protokola su TLS i SSL. Potonji je zabranjen za upotrebu, a zauzvrat, TLS se razvija, pa dok ovo pišem, najnovija verzija je 1.3, iako u nacrtu. U praktičnom smislu, od januara 2018. trebali biste imati samo TLS v 1.2. omogućeno. Vjerovatno će doći do prelaska na TLV v 1.3. tokom 2018. Qualys test će navesti koje ste kriptografske protokole primijenili i trenutno ćete, ako koristite ispod TLS v 1.2., dobiti lošu ocjenu.

Zadnja stvar koju treba reći o kriptografskim protokolima, kada kupite web paket i SSL certifikat od glavnog dobavljača internetskih usluga, poput GoDaddyja, to će biti TLS v 1.2. što je dobro, ali dalje u nizu, možda će vam biti teško nadograditi recimo TLS v 1.3. Osobno, instaliram vlastite SSL certifikate i stoga kontroliram svoju sudbinu, da tako kažem.

Korak 2: Ponovno konfigurirajte Apache za uvođenje SSL promjena

Jedno od važnih područja koje se testira u Qualys SSL testu i fokus ovog odjeljka su paketi Cipher koji određuju jačinu šifriranja vaših prenesenih podataka. Evo primjera izlaza iz Qualys SSL testa na jednoj od mojih domena.

Šifra Suites # TLS 1.2 (apartmana u server-željenom cilju) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (ekv. 3072 bita RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (ekv. 3072 bita RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (ekv. 3072 bita RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (ekv. 3072 bita RSA) FS128

Možda ćete potrošiti puno vremena na ponovno konfiguriranje vaše Apache konfiguracije za uklanjanje crvenih linija (neuspjelih) iz vašeg Qualysovog izvještaja o testiranju, ali preporučujem sljedeći pristup da biste dobili najbolje postavke Cipher Suite.

1) Posjetite Apache web stranicu i zatražite njihove preporuke za korištenje Cipher Suite -a. U vrijeme pisanja ovog članka slijedio sam ovu vezu -

2) Dodajte preporučenu postavku u svoju Apache konfiguracijsku datoteku i ponovo pokrenite Apache. Ovo je njihova preporučena postavka koju sam koristio.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1EC5: ECDH -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

Napomene - Jedan od izazova je pronaći datoteku koja vam je potrebna za promjenu SSLCipherSuite direktive. Da biste to učinili, prijavite se na Putty i prijavite se u direktorij etc (sudo cd /etc) Potražite apache direktorij, poput apache2 ili http. Zatim pretražite apache direktorij na sljedeći način: grep -r "SSLCipherSuite" /etc /apache2 - Ovo će vam dati izlaz sličan ovome:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH: MEDIUM:! aNULL:! MD5:! RC4:! DES/etc/apache2/mods-available/ssl.conf: #SSLCipherSuite HIGH:! aNULL: ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH+3DES: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

Ono što je važno napomenuti je datoteka /etc/apache2/mods-available/ssl.conf ili bilo šta što je vaše. Otvorite datoteku pomoću uređivača kao što je nano i idite na odjeljak # SSL Cipher Suite:. Zatim zamijenite postojeći unos u direktivi SSLCipherSuite sa gornjim sa web stranice Apache. Zapamtite da komentarišete starije SSLCipherSuite direktive i ponovo pokrenete Apache - u mom slučaju, to sam učinio upisivanjem sudo /etc/init.d/apache2 restart

Imajte na umu da ćete ponekad morati ukloniti određene šifre koje vam daju nisku ocjenu Qualys SSL testa (recimo zato što su otkrivene nove ranjivosti) iako ste koristili preporučene postavke Apachea. Primjer je ako se sljedeći redak pojavi crveno (neuspješno) u vašem Qualys izvještaju TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Prvi korak je pronaći kod koji trebate promijeniti u svojoj Apache SSLCipherSuite direktivi. Da biste pronašli kôd, idite na https://www.openssl.org/docs/man1.0.2/apps/ciphers…-ovo prikazuje kôd na sljedeći način: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

Uzmite ECDHE-RSA-AES256-GCM-SHA384 i uklonite ga iz unosa koji ste dodali kao Apache Apache SSLCipherSuite direktivu, a zatim ga dodajte do kraja prethodeći mu sa:!

Ponovo pokrenite Apache i ponovo ga testirajte

Korak 3: Zaključak

Znam da ste naučili nešto o SSL testiranju. Ima još mnogo toga za naučiti o ovome, ali nadam se da sam vas usmjerio u pravom smjeru. U svojim sljedećim vodičima pokrit ću druga područja kibernetičke sigurnosti, pa budite u toku.