Styrkelse af SSL -tjenester på din webserver (Apache/ Linux): 3 trin

2024 Forfatter: John Day | [email protected]. Sidst ændret: 2024-01-30 08:29

Dette er en meget kort tutorial om et aspekt af cybersikkerhed - styrken af ssl -tjenesten på din webserver. Baggrunden er, at ssl-tjenester på dit websted bruges til at sikre, at ingen kan hacke data, der overføres til og fra dit websted. Der har været velkendte angreb på sårbare SSL -tjenester såsom Heartbleed -bug i OpenSSL og Poodle -bug, som udnyttede SSL 3.0 -sårbarheder. (Dette område er et bevægeligt mål, så du skal bygge SSL-test i din ISO 27001 plan-do-check-act (PDCA) cyklus.)

Når ssl installeres på dit websted ved hjælp af et certifikat fra en anerkendt udbyder, vil du se, at dit websted kan tilgås fra https://yourdomain.com. Det betyder, at data overføres frem og tilbage i krypteret format. I modsætning hertil udsætter https://yourdomain.com eller svag kryptering overførte data i klar tekst, hvilket betyder, at selv en kiddy hacker kan få adgang til dine adgangskodedata osv. Ved hjælp af let tilgængelige værktøjer som Wireshark.

For resten af denne vejledning antager jeg, at du vil bruge Apache som din webserver på Linux, og at du har adgang til din webserver via en terminalemulator som f.eks. Kit. For nemheds skyld antager jeg også, at din internetudbyder har leveret dit SSL-certifikat, og du har mulighed for at omkonfigurere nogle aspekter af det.

Trin 1: Test af styrken i din SSL -service

Gå blot til https://www.ssllabs.com/ssltest/, og indtast dit domænenavn ved siden af feltet Værtsnavn, og markér afkrydsningsfeltet "Vis ikke resultaterne på tavlerne", og klik på knappen Send. (Bemærk, at du ikke bør teste nogen domæner uden forudgående tilladelse, og du bør aldrig vise resultater på tavlerne.)

Efter at testene er blevet kørt, får du en score fra F til A+. Du får detaljerede testresultater, som forhåbentlig gør det klart for dig, hvorfor du har fået din tildelte score.

De sædvanlige årsager til fejl er, fordi du bruger forældede komponenter, såsom chiffer eller protokoller. Jeg vil snart fokusere på chiffer, men først et hurtigt ord om kryptografiske protokoller.

Kryptografiske protokoller giver kommunikationssikkerhed over et computernetværk. … Forbindelsen er privat (eller sikker), fordi symmetrisk kryptografi bruges til at kryptere de transmitterede data. De to hovedprotokoller er TLS og SSL. Sidstnævnte er forbudt at bruge, og til gengæld udvikler TLS sig, og da jeg skriver dette, er den nyeste version 1.3, omend i udkastformat. Rent praktisk, som i januar 2018, bør du kun have TLS v 1.2. aktiveret. Der vil sandsynligvis være et skifte til TLV v 1.3. i løbet af 2018. Qualys -testen viser, hvilke kryptografiske protokoller du har anvendt, og hvis du bruger under TLS v 1.2., får du en dårlig score.

En sidste ting at sige om kryptografiske protokoller, når du køber en webpakke og SSL -certifikat fra en almindelig internetudbyder som GoDaddy, vil det være TLS v 1.2. hvilket er godt, men længere nede på linjen kan du have svært ved at opgradere til at sige TLS v 1.3. Personligt installerer jeg mine egne SSL -certifikater, og jeg har derfor så at sige kontrol over min egen skæbne.

Trin 2: Omkonfiguration af Apache til at foretage SSL -ændringer

Et af de vigtige områder, der testes i Qualys SSL -test og fokus i dette afsnit, er Cipher -suiter, der bestemmer krypteringsstyrken for dine overførte data. Her er et eksempel output fra en Qualys SSL -test på et af mine domæner.

Cipher Suites Nr TLS 1.2 (suiter i server-foretrukne rækkefølge) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (eq. 3072 bit RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (ækv. 3072 bits RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (ækv. 3072 bits RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (ækv. 3072 bit RSA) FS128

Du kan bruge meget tid på at genkonfigurere din Apache-konfiguration for at fjerne røde linjer (mislykkes) fra din Qualys-testrapport, men jeg anbefaler følgende fremgangsmåde for at få de bedste Cipher Suite-indstillinger.

1) Besøg Apache -webstedet og få deres anbefalinger til en Cipher Suite, der skal bruges. I skrivende stund fulgte jeg dette link -

2) Føj den anbefalede indstilling til din Apache -konfigurationsfil, og genstart Apache. Dette var deres anbefalede indstilling, som jeg brugte.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305: ECDHE -8CD-ECDA-ECDSA -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

Bemærkninger - En af udfordringerne er at finde, hvilken fil du har brug for for at ændre dit SSLCipherSuite -direktiv. For at gøre dette skal du logge på Putty og logge på etc -biblioteket (sudo cd /etc) Se efter en apache -mappe, f.eks. Apache2 eller http. Søg derefter i apache -biblioteket som følger: grep -r "SSLCipherSuite" /etc /apache2 - Dette giver dig et output svarende til dette:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH: MEDIUM:! aNULL:! MD5:! RC4:! DES/etc/apache2/mods-available/ssl.conf: #SSLCipherSuite HIGH:! aNULL: ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH+3DES: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

Det vigtige at bemærke er filen /etc/apache2/mods-available/ssl.conf eller hvad der nu er din. Åbn filen ved hjælp af en editor som f.eks. Nano og gå til afsnittet # SSL Cipher Suite:. Udskift derefter den eksisterende post i direktivet SSLCipherSuite med den ovenstående fra Apache -webstedet. Husk at kommentere ældre SSLCipherSuite -direktiver, og genstart Apache - i mit tilfælde gjorde jeg dette ved at skrive sudo /etc/init.d/apache2 genstart

Bemærk, at du nogle gange muligvis skal fjerne bestemte cifre, der giver dig en lav Qualys SSL -testscore (siger fordi der er opdaget nye sårbarheder), selvom du har brugt de anbefalede Apache -indstillinger. Et eksempel er, hvis følgende linje vises med rødt (mislykkes) på din Qualys -rapport TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) Det første trin er at finde, hvilken kode du skal ændre i dit Apache SSLCipherSuite -direktiv. For at finde koden skal du gå til https://www.openssl.org/docs/man1.0.2/apps/ciphers…-denne viser koden som følger: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

Tag ECDHE-RSA-AES256-GCM-SHA384 og fjern det fra den post, du tilføjede som Apache Apache SSLCipherSuite-direktivet, og tilføj det derefter til slutningen ved at gå forud for det med:!

Igen, genstart Apache og test igen

Trin 3: Konklusion

Jeg har, at du har lært noget om SSL -test. Der er meget mere at lære om dette, men forhåbentlig har jeg peget dig i den rigtige retning. I mine næste tutorials vil jeg dække andre områder inden for Cyber Security, så følg med.