חיזוק שירותי SSL בשרת האינטרנט שלך (Apache/ Linux): 3 שלבים

2024 מְחַבֵּר: John Day | [email protected]. שונה לאחרונה: 2024-01-30 09:17

זהו הדרכה קצרה מאוד העוסקת בהיבט אחד של אבטחת סייבר - עוצמת שירות ה- ssl בשרת האינטרנט שלך. הרקע הוא ששירותי ssl באתר האינטרנט שלך משמשים כדי להבטיח שאף אחד לא יכול לפרוץ נתונים שמועברים לאתר האינטרנט שלך וממנו. התקפות מתפרסמות היטב על שירותי SSL פגיעים כגון באג Heartbleed ב- OpenSSL ובאג הפודל שניצל פגיעויות SSL 3.0. (אזור זה הוא יעד נע, לכן עליך לבנות בדיקות SSL במחזור ה- Plan-do-Check-act שלך (ISO 27001).)

כאשר ssl מותקן באתר האינטרנט שלך באמצעות אישור מספק מוכר, תראה שניתן לגשת לאתר שלך מ- https://yourdomain.com. המשמעות היא שהנתונים מועברים קדימה ואחורה בפורמט מוצפן. לעומת זאת, https://yourdomain.com או הצפנה חלשה חושפת נתונים מועברים בטקסט ברור, מה שאומר שאפילו האקר קטנטן יכול לגשת לנתוני הסיסמה שלך וכו 'באמצעות כלים זמינים כגון Wireshark.

בהמשך הדרכה זו, אני מניח שתשתמש ב- Apache כשרת האינטרנט שלך ב- Linux וכי יש לך גישה לשרת האינטרנט שלך באמצעות אמולטור מסוף כגון מרק. לשם הפשטות, אני גם הולך להניח שספקית האינטרנט שלך סיפקה את תעודת ה- SSL שלך ויש לך את היכולת להגדיר מחדש כמה היבטים בה.

שלב 1: בדיקת עוצמת שירות ה- SSL שלך

פשוט עבור אל https://www.ssllabs.com/ssltest/ והזן את שם הדומיין שלך ליד התיבה שם מארח ובחר בתיבת הסימון "אל תציג את התוצאות בלוחות" ולחץ על כפתור השליחה. (שים לב כי אין לבחון דומיינים ללא אישור מראש ולעולם אל תציג תוצאות על הלוחות.)

לאחר ביצוע הבדיקות, תקבל ציון F מ- A+. תינתן לך בדיקות מפורטות, אשר מקווים להבהיר לך מדוע קיבלת את הציון שהוקצה לך.

הסיבות הרגילות לכישלון הן כיוון שאתה משתמש ברכיבים מיושנים כגון צפנים או פרוטוקולים. אני אתמקד בצפנים בקרוב אבל קודם כל מילה מהירה על פרוטוקולים קריפטוגרפיים.

פרוטוקולים קריפטוגרפיים מספקים אבטחת תקשורת ברשת מחשבים. … החיבור הוא פרטי (או מאובטח) מכיוון שהצפנה סימטרית משמשת להצפנת הנתונים המועברים. שני הפרוטוקולים העיקריים הם TLS ו- SSL. זה האחרון אסור לשימוש ובתורו, TLS מתפתח ולכן כשאני כותב זאת, הגרסה האחרונה היא 1.3, אם כי בפורמט טיוטה. מבחינה מעשית, כמו בינואר 2018, אתה צריך רק את TLS v 1.2. מופעל. כנראה יהיה מעבר ל- TLV v 1.3. במהלך 2018. מבחן Qualys יפרט אילו פרוטוקולי הצפנה החלת וכיום, אם אתה משתמש מתחת ל- TLS v 1.2., תקבל ציון גרוע.

דבר אחרון לומר על פרוטוקולי הצפנה, כאשר אתה קונה חבילת אינטרנט ותעודת SSL מספק שירותי אינטרנט רגילים כמו GoDaddy, זה יהיה TLS v 1.2. וזה טוב אבל בהמשך השורה, ייתכן שתתקשה לשדרג לומר TLS v 1.3. באופן אישי, אני מתקין אישורי SSL משלי ולכן אני שולט בגורלי, כביכול.

שלב 2: הגדרה מחדש של Apache לביצוע שינויי SSL

אחד התחומים החשובים שנבדקים בבדיקת SSL של Qualys ומוקד החלק הזה הוא חבילות הצופן שקובעות את עוצמת ההצפנה של הנתונים המועברים שלך. להלן דוגמא לפלט ממבחן SSL של Qualys באחד התחומים שלי.

ההצפנה Suites # TLS 1.2 (סוויטות כדי השרת המועדף) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (EQ. 3072 ביטים RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (EQ. 3072 ביטים RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (EQ. 3072 ביטים RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (שווי 3072 סיביות RSA) FS128

אתה עשוי להשקיע הרבה זמן בתצורה מחדש של תצורת ה- Apache שלך להסרת קווים אדומים (נכשלים) מדוח הבדיקה של Qualys, אך אני ממליץ על הגישה הבאה כדי לקבל את ההגדרות הטובות ביותר ב- Cipher Suite.

1) בקר באתר האינטרנט של Apache וגרור את המלצותיהם לשימוש ב- Cipher Suite. בזמן הכתיבה עקבתי אחר הקישור הזה -

2) הוסף את ההגדרה המומלצת לקובץ התצורה של Apache והפעל מחדש את Apache. זו הייתה ההגדרה המומלצת שלהם בה השתמשתי.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHE-ECDSA -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

הערות - אחד האתגרים הוא למצוא איזה קובץ אתה צריך כדי לשנות את ההנחיה SSLCipherSuite שלך. לשם כך, היכנס ל- Putty והיכנס לספריית etc (sudo cd /etc) חפש ספריית apache כגון apache2 או http. לאחר מכן, בצע חיפוש בספריית apache כדלקמן: grep -r "SSLCipherSuite" /etc /apache2 - זה ייתן לך פלט דומה לזה:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH: MEDIUM:! aNULL:! MD5:! RC4:! DES/etc/apache2/mods-available/ssl.conf: #SSLCipherSuite HIGH:! aNULL: ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH+3DES: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

הדבר החשוב שצריך לשים לב אליו הוא הקובץ /etc/apache2/mods-available/ssl.conf או מה שהוא שלך. פתח את הקובץ באמצעות עורך כגון ננו ועבור לקטע # SSL Cipher Suite:. לאחר מכן החלף את הערך הקיים בהוראה SSLCipherSuite בכפוף למעלה מאתר Apache. זכור להגיב על הוראות SSLCipherSuite ישנות יותר והפעל מחדש את Apache - במקרה שלי, עשיתי זאת על ידי הקלדת sudo /etc/init.d/apache2 הפעלה מחדש

שים לב שלפעמים ייתכן שיהיה עליך להסיר צפנים ספציפיים המעניקים לך ציון נמוך של Qualys SSL (נניח מכיוון שהתגלו פגיעויות חדשות) למרות שהשתמשת בהגדרות Apache המומלצות. דוגמה לכך היא אם השורה הבאה מופיעה באדום (נכשל) בדוח Qualys שלך TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) השלב הראשון הוא למצוא איזה קוד עליך לשנות בהנחיית Apache SSLCipherSuite שלך. כדי למצוא את הקוד, עבור אל https://www.openssl.org/docs/man1.0.2/apps/ciphers…-זה מראה את הקוד כדלקמן: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

קח את ECDHE-RSA-AES256-GCM-SHA384 והסר אותו מהערך שהוספת כהנחיית Apache Apache SSLCipherSuite ולאחר מכן הוסף אותו לסוף על ידי לפניו עם:!

שוב, הפעל מחדש את Apache ובדוק שוב

שלב 3: מסקנה

יש לי שלמדת משהו על בדיקות SSL. יש עוד הרבה מה ללמוד על זה אבל אני מקווה שהצבעתי אותך בכיוון הנכון. בהדרכות הבאות שלי אעסוק בתחומים אחרים של אבטחת סייבר אז הישאר מעודכן.