Posilnenie služieb SSL na vašom webovom serveri (Apache/ Linux): 3 kroky

2024 Autor: John Day | [email protected]. Naposledy zmenené: 2024-01-30 12:00

Toto je veľmi krátky návod, ktorý sa týka jedného aspektu kybernetickej bezpečnosti - sily služby ssl na vašom webovom serveri. Základom je, že služby SSL na vašich webových stránkach slúžia na zabezpečenie toho, aby nikto nemohol hacknúť údaje, ktoré sa prenášajú na vaše webové stránky a z nich. Boli dobre propagované útoky na zraniteľné služby SSL, ako napríklad chyba Heartbleed v OpenSSL a chyba Poodle, ktorá využívala chyby zabezpečenia SSL 3.0. (Táto oblasť je pohyblivým cieľom, preto musíte do cyklu ISO 27001 plán-do-check-act (PDCA) integrovať testovanie SSL.)

Keď je ssl nainštalovaný na vaše webové stránky pomocou certifikátu od uznávaného poskytovateľa, uvidíte, že na váš web je možné pristupovať z https://vasadomena.com. To znamená, že údaje sa prenášajú tam a späť v šifrovanom formáte. Naopak, https://vasadomena.com alebo slabé šifrovanie vystavuje prenášané údaje jasnému textu, čo znamená, že aj malý hacker má prístup k vašim údajom o hesle atď. Pomocou ľahko dostupných nástrojov, ako je napríklad Wireshark.

Vo zvyšku tohto tutoriálu predpokladám, že budete používať Apache ako svoj webový server v systéme Linux a že k svojmu webovému serveru budete mať prístup pomocou emulátora terminálu, akým je napríklad tmel. Pre jednoduchosť budem tiež predpokladať, že váš poskytovateľ internetových služieb poskytol váš certifikát SSL a vy máte schopnosť znova nakonfigurovať niektoré jeho aspekty.

Krok 1: Testovanie sily vašej služby SSL

Jednoducho choďte na https://www.ssllabs.com/ssltest/ a zadajte názov svojej domény vedľa poľa Názov hostiteľa, začiarknite políčko „Nezobrazovať výsledky na nástenkách“a kliknite na tlačidlo Odoslať. (Upozorňujeme, že by ste nemali testovať žiadne domény bez predchádzajúceho povolenia a nikdy by ste nemali zobrazovať výsledky na nástenkách.)

Po dokončení testov vám bude pridelené skóre od F do A+. Dostanete podrobné výsledky testov, z ktorých vám snáď bude zrejmé, prečo vám bolo pridelené vaše skóre.

Obvyklými dôvodmi neúspechu sú to, že používate zastarané komponenty, ako sú šifry alebo protokoly. Čoskoro sa zameriam na šifry, ale najskôr krátke slovo o kryptografických protokoloch.

Kryptografické protokoly poskytujú zabezpečenie komunikácie prostredníctvom počítačovej siete. … Pripojenie je súkromné (alebo zabezpečené), pretože na šifrovanie prenášaných údajov sa používa symetrická kryptografia. Dva hlavné protokoly sú TLS a SSL. Použitie druhého menovaného je zakázané a TLS sa vyvíja, a preto keď to píšem, najnovšia verzia je 1.3, aj keď vo formáte draft. V praxi by ste od januára 2018 mali používať iba TLS v 1.2. povolené. Pravdepodobne dôjde k prechodu na TLV v 1.3. počas roku 2018. Test Qualys vypíše, aké kryptografické protokoly ste použili a v súčasnosti, ak používate protokol TLS v 1.2., dostanete slabé skóre.

Posledná vec, ktorú treba povedať o kryptografických protokoloch, keď si kúpite webový balík a certifikát SSL od bežného poskytovateľa internetových služieb, akým je napríklad GoDaddy, bude to TLS v 1.2. čo je dobré, ale ďalej v rade môže byť ťažké upgradovať, povedzme TLS v 1.3. Osobne si inštalujem vlastné certifikáty SSL, a preto mám svoj osud takpovediac pod kontrolou.

Krok 2: Konfigurácia servera Apache na vykonanie zmien SSL

Jednou z dôležitých oblastí, ktoré sú testované v teste Qualys SSL, a v tejto časti sa zameriavame na súpravy Cipher, ktoré určujú silu šifrovania prenášaných údajov. Tu je príklad výstupu z testu Qualys SSL na jednej z mojich domén.

Cipher Suites # TLS 1.2 (apartmány v serverové prednostné poradí) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (ekv. 3072 bitov RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (ekv. 3072 bitov RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (ekv. 3072 bitov RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (ekv. 3072 bitov RSA) FS128

Môžete stráviť veľa času opätovnou konfiguráciou konfigurácie Apache, aby ste z testovacej správy Qualys odstránili červené čiary (neúspechy), ale na získanie najlepších nastavení Cipher Suite odporúčam nasledujúci prístup.

1) Navštívte webovú stránku Apache a vyžiadajte si ich odporúčania týkajúce sa použitia sady Cipher Suite. V čase písania článku som nasledoval tento odkaz -

2) Pridajte odporúčané nastavenie do konfiguračného súboru Apache a reštartujte Apache. Toto bolo ich odporúčané nastavenie, ktoré som použil.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHE-ECDS -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

Poznámky - Jednou z výziev je nájsť súbor, ktorý potrebujete na zmenu smernice SSLCipherSuite. Ak to chcete urobiť, prihláste sa na Putty a prihláste sa do adresára etc (sudo cd /etc) Vyhľadajte adresár apache, ako je apache2 alebo http. Ďalej vyhľadajte adresár apache nasledovne: grep -r "SSLCipherSuite" /etc /apache2 - Poskytne vám výstup podobný tomuto:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite VYSOKÝ: STREDNÝ:! aNULL:! MD5:! RC4:! DES/etc/apache2/mods-available/ssl.conf: #SSLCipherSuite VYSOKÝ:! aNULL: ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH+3DES: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

Dôležitou vecou je súbor /etc/apache2/mods-available/ssl.conf alebo čokoľvek, čo je vaše. Otvorte súbor pomocou editora, ako je nano, a prejdite do sekcie # SSL Cipher Suite:. Potom nahraďte existujúci záznam v smernici SSLCipherSuite vyššie uvedeným z webu Apache. Nezabudnite komentovať staršie smernice SSLCipherSuite a reštartovať Apache - v mojom prípade som to urobil zadaním sudo /etc/init.d/apache2 restart

Všimnite si toho, že niekedy budete musieť odstrániť konkrétne šifry, ktoré vám poskytujú nízke skóre testu Qualys SSL (povedzme, pretože boli zistené nové zraniteľnosti), aj keď ste použili odporúčané nastavenia Apache. Príkladom je, ak sa nasledujúci riadok vo vašej správe Qualys zobrazí červenou (neúspešnou) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Prvým krokom je zistiť, ktorý kód musíte vo svojej smernici Apache SSLCipherSuite zmeniť. Ak chcete nájsť kód, navštívte stránku https://www.openssl.org/docs/man1.0.2/apps/ciphers…-kód je nasledujúci: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

Vezmite ECDHE-RSA-AES256-GCM-SHA384 a odstráňte ho zo záznamu, ktorý ste pridali ako smernicu Apache Apache SSLCipherSuite, a potom ho pridajte na koniec tak, že ho začnete s:!

Znova reštartujte Apache a zopakujte test

Krok 3: Záver

Dozvedeli sme sa niečo o testovaní SSL. Dá sa o tom dozvedieť oveľa viac, ale dúfajme, že som vás ukázal správnym smerom. V mojich ďalších tutoriáloch sa budem zaoberať ďalšími oblasťami kybernetickej bezpečnosti, takže zostaňte naladení.