Veb -serveringizda SSL xizmatlarini kuchaytirish (Apache/ Linux): 3 qadam

2024 Muallif: John Day | [email protected]. Oxirgi o'zgartirilgan: 2024-01-30 13:28

Bu kiberxavfsizlikning bir jihati - veb -serveringizda ssl xizmatining kuchi bilan bog'liq juda qisqa qo'llanma. Orqa fon shundan iboratki, sizning veb-saytingizdagi ssl xizmatlari hech kim sizning veb-saytingizga va undan uzatilayotgan ma'lumotlarni buzib kirmasligini ta'minlash uchun ishlatiladi. OpenSSL -dagi Heartbleed xatosi va SSL 3.0 -ning zaifliklaridan foydalangan Poodle xatosi kabi zaif SSL xizmatlariga yaxshi e'lon qilingan hujumlar bo'ldi. (Bu maydon-bu harakatlanuvchi maqsad, shuning uchun siz ISO 27001 reja-bajarishni tekshirish-PDCA) tsikliga SSL testini o'tkazishingiz kerak.)

Taniqli provayder sertifikati yordamida ssl veb -saytingizga o'rnatilganda, siz o'z veb -saytingizga https://yourdomain.com saytidan kirishingiz mumkinligini ko'rasiz. Bu shuni anglatadiki, ma'lumotlar shifrlangan formatda oldinga va orqaga uzatiladi. Bundan farqli o'laroq, https://yourdomain.com yoki zaif shifrlash uzatilgan ma'lumotlarni aniq matnda ochib beradi, bu shuni anglatadiki, hatto xaker xaker ham parol ma'lumotlariga kira oladi va hokazo Wireshark.

Qolgan darsliklar uchun siz Apache -ni Linux -da veb -server sifatida ishlatasiz deb o'ylayman va veb -serveringizga macun kabi terminal emulyatori orqali kirishingiz mumkin. Oddiy qilib aytganda, sizning provayderingiz SSL sertifikatingizni taqdim etgan va siz uning ba'zi jihatlarini qayta sozlash imkoniyatiga egasiz deb o'ylayman.

1 -qadam: SSL xizmatining kuchini tekshirish

Faqat https://www.ssllabs.com/ssltest/ saytiga o'ting va domen nomini Xost nomi maydoniga kiriting va "Natijalarni taxtalarda ko'rsatmaslik" katagiga belgi qo'ying va yuborish tugmasini bosing. (E'tibor bering, siz hech qanday domenni oldindan ruxsatisiz sinab ko'rmasligingiz va hech qachon natijalarni taxtalarda ko'rsatmasligingiz kerak.)

Sinovlar tugagandan so'ng, sizga F dan A+gacha ball beriladi. Sizga batafsil test natijalari beriladi, bu sizga nima uchun sizga berilgan ball berilganligini tushuntiradi.

Muvaffaqiyatsiz bo'lishning odatiy sabablari siz shifr yoki protokol kabi eskirgan komponentlardan foydalanayotganligingizdir. Men tez orada shifrlarga e'tibor qarataman, lekin birinchi navbatda kriptografik protokollar haqida.

Kriptografik protokollar kompyuter tarmog'i orqali aloqa xavfsizligini ta'minlaydi. … Ulanish maxfiy (yoki xavfsiz), chunki uzatilgan ma'lumotlarni shifrlash uchun nosimmetrik kriptografiya ishlatiladi. Ikkita asosiy protokol TLS va SSL. Ikkinchisidan foydalanish taqiqlangan va o'z navbatida TLS rivojlanmoqda, shuning uchun men buni yozganimda, qoralama formatida bo'lsa ham, oxirgi versiya 1.3. Amaliy ma'noda, 2018 yil yanvar holatiga ko'ra, sizda faqat TLS v 1.2 bo'lishi kerak. yoqilgan. Ehtimol, TLV v 1.3 ga o'tish bo'ladi. Qualys testi siz qanday kriptografik protokollarni qo'llaganingizni ko'rsatadi va hozirda siz TLS v 1.2 dan past foydalanayotgan bo'lsangiz, siz yomon baho olasiz.

Kriptografik protokollar haqida aytish kerak bo'lgan oxirgi narsa, GoDaddy kabi asosiy Internet -provayderdan veb -paket va SSL sertifikatini sotib olganingizda, TLS v 1.2 bo'ladi. bu yaxshi, lekin pastda, TLS v 1.3 deyishni yangilash qiyin bo'lishi mumkin. Shaxsan men o'z SSL sertifikatlarimni o'rnataman va shuning uchun o'z taqdirimni nazorat qilaman.

2 -qadam: SSL -ni o'zgartirish uchun Apache -ni qayta sozlash

Qualys SSL testida sinovdan o'tkaziladigan va ushbu bo'limda diqqat markazida bo'ladigan muhim yo'nalishlardan biri bu uzatiladigan ma'lumotlarning shifrlanish kuchini aniqlaydigan shifrlar to'plamidir. Mana mening domenlarimdan birida Qualys SSL testidan olingan misol.

Shifr Suite # TLS TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 1,2 (server-ustun qilingan, tartib Suite) (EQ. 3072 bit RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (EQ. 3072 bit RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (EQ. 3072 bit RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH sekp256r1 (3072 bitli RSA) FS128

Qualys test hisobotidan qizil chiziqlarni (muvaffaqiyatsizliklar) olib tashlash uchun Apache konfiguratsiyasini qayta sozlash uchun ko'p vaqt sarflashingiz mumkin, lekin men Cipher Suite-ning eng yaxshi sozlamalarini olish uchun quyidagi yondashuvni tavsiya qilaman.

1) Apache veb -saytiga tashrif buyuring va Cipher Suite -dan foydalanish bo'yicha tavsiyalarini oling. Yozish paytida men ushbu havolani kuzatdim -

2) Apache konfiguratsiya fayliga tavsiya etilgan sozlamani qo'shing va Apache -ni qayta ishga tushiring. Bu men foydalangan tavsiya etilgan sozlama edi.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHAHA20-POLHECD-ESC-E30-ECH-E30-E12-E12-ESCA-ESCA-ESCA-ASC25 -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

Eslatmalar - Muammolardan biri - SSLCipherSuite direktivasini o'zgartirish kerak bo'lgan faylni topish, Buning uchun Putty -ga kiring va hokazo katalogiga kiring (sudo cd /etc) Apache2 yoki http kabi apache katalogini qidiring. Keyin apache katalogidan quyidagicha qidiring: grep -r "SSLCipherSuite" /etc /apache2 - Bu sizga shunga o'xshash natijani beradi:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH: MEDIUM:! aNULL:! MD5:! RC4:! DES/etc/apache2/mods-available/ssl.conf: #SSLCipherSuite HIGH:! aNULL: ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH+3DES: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

Shuni ta'kidlash kerakki, fayl /etc/apache2/mods-available/ssl.conf yoki sizniki. Faylni nano kabi muharrir yordamida oching va bo'limga o'ting # SSL Cipher Suite:. Keyin SSLCipherSuite direktivasidagi mavjud yozuvni Apache veb -saytidagi yuqoridagi yozuv bilan almashtiring. Eski SSLCipherSuite ko'rsatmalarini sharhlashni unutmang va Apache -ni qayta ishga tushiring - men buni sudo /etc/init.d/apache2 restart yozish orqali qildim.

E'tibor bering, ba'zida sizga tavsiya qilinadigan Apache sozlamalarini ishlatgan bo'lsangiz ham, sizga Qualys SSL testining past bahosini beradigan (masalan, yangi zaifliklar aniqlangan) ma'lum shifrlarni olib tashlashingiz kerak bo'lishi mumkin. Masalan, Qualys hisobotingizda TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) quyidagi satr qizil rangda (muvaffaqiyatsiz) paydo bo'lsa, birinchi qadam Apache SSLCipherSuite ko'rsatmasida qaysi kodni o'zgartirish kerakligini topishdir. Kodni topish uchun https://www.openssl.org/docs/man1.0.2/apps/ciphers… manziliga o'ting-bu kodni quyidagicha ko'rsatadi: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-GCM-SHA384-ni oling va uni Apache Apache SSLCipherSuite direktivasi sifatida qo'shilgan yozuvdan olib tashlang va uni oxirigacha qo'shing:!

Yana Apache -ni qayta ishga tushiring va qayta tekshiring

3 -qadam: Xulosa

Sizda SSL testi haqida nimadir bilib oldingiz. Bu borada yana ko'p narsalarni bilib olish mumkin, lekin umid qilamanki, men sizni to'g'ri yo'nalishga yo'naltirdim. Keyingi darsliklarimda men kiberxavfsizlikning boshqa sohalarini qamrab olaman, shuning uchun bizni kuzatib boring.