Ձեր վեբ սերվերի վրա SSL ծառայությունների ամրապնդում (Apache/ Linux) ՝ 3 քայլ

2024 Հեղինակ: John Day | [email protected]. Վերջին փոփոխված: 2024-01-30 09:51

Սա շատ կարճ ձեռնարկ է, որը վերաբերում է կիբերանվտանգության մեկ ասպեկտին ՝ ձեր վեբ սերվերի ssl ծառայության հզորությանը: Նախապատմությունն այն է, որ ձեր վեբ կայքի ssl ծառայություններն օգտագործվում են երաշխավորելու համար, որ ոչ ոք չի կարող կոտրել այն տվյալները, որոնք փոխանցվում և փոխանցվում են ձեր վեբ կայքին: Եղել են լավ հրապարակայնացված հարձակումներ խոցելի SSL ծառայությունների վրա, ինչպիսիք են OpenSSL- ի Heartbleed սխալը և Poodle- ի սխալը, որը շահագործել է SSL 3.0 խոցելիությունները: (Այս տարածքը շարժական թիրախ է, այնպես որ դուք պետք է կառուցեք SSL թեստավորում ձեր ISO 27001 պլան-արա-ստուգիր-գործողության (PDCA) ցիկլի մեջ:)

Երբ ssl- ը տեղադրվի ձեր վեբ կայքում `օգտագործելով ճանաչված մատակարարի վկայական, կտեսնեք, որ ձեր կայք կարելի է մուտք գործել https://yourdomain.com կայքից: Սա նշանակում է, որ տվյալները փոխանցվում են հետ և առաջ ՝ կոդավորված ձևաչափով: Ի հակադրություն, https://yourdomain.com կամ թույլ կոդավորումը բացահայտում է փոխանցված տվյալները հստակ տեքստով, ինչը նշանակում է, որ նույնիսկ մանկական հաքերը կարող է մուտք գործել ձեր գաղտնաբառի տվյալները և այլն ՝ օգտագործելով մատչելի գործիքներ, ինչպիսիք են Wireshark- ը:

Այս ձեռնարկի մնացած մասի համար ես ենթադրում եմ, որ դուք կօգտագործեք Apache- ը որպես ձեր վեբ սերվեր Linux- ում և որ ձեր վեբ սերվերին մուտք կունենաք տերմինալային էմուլյատորի միջոցով, ինչպիսին է ծեփամածիկը: Պարզության համար ես նաև ենթադրելու եմ, որ ձեր ISP- ն տրամադրել է ձեր SSL վկայագիրը, և դուք հնարավորություն ունեք նորից կարգավորել դրա որոշ ասպեկտներ:

Քայլ 1. Փորձարկեք ձեր SSL ծառայության հզորությունը

Պարզապես գնացեք https://www.ssllabs.com/ssltest/ և մուտքագրեք ձեր տիրույթի անունը Hostname վանդակի կողքին և ընտրեք «Մի ցուցադրեք արդյունքները տախտակներում» նշանը և կտտացրեք ներկայացնել կոճակին: (Խնդրում ենք նկատի ունենալ, որ դուք չպետք է փորձարկեք որևէ տիրույթ առանց նախնական թույլտվության և երբեք չպետք է արդյունքներ ցույց տաք տախտակներին):

Թեստերի անցկացումից հետո ձեզ կտրվի F- ից A+միավոր: Ձեզ կտրվեն թեստի մանրամասն արդյունքներ, որոնք, հուսով եմ, ձեզ համար պարզ կդարձնեն, թե ինչու է ձեզ տրված ձեր գնահատականը:

Սխալման սովորական պատճառներն այն են, որ դուք օգտագործում եք հնացած բաղադրիչներ, ինչպիսիք են ծածկագրերը կամ արձանագրությունները: Շուտով ես կկենտրոնանամ ծածկագրերի վրա, բայց սկզբում արագ խոսք գաղտնագրող արձանագրությունների մասին:

Գաղտնագրման արձանագրությունները ապահովում են հաղորդակցման անվտանգություն համակարգչային ցանցի միջոցով: … Կապը մասնավոր է (կամ ապահով), քանի որ փոխանցված տվյալների ծածկագրման համար օգտագործվում է սիմետրիկ գաղտնագրություն: Երկու հիմնական արձանագրությունները TLS և SSL են: Վերջինս արգելված է օգտագործել և իր հերթին, TLS- ը զարգանում է, և երբ գրում եմ սա, վերջին տարբերակը 1.3 -ն է, չնայած նախագծային ձևաչափով: Գործնական առումով, 2018 թվականի հունվարի դրությամբ դուք պետք է ունենաք միայն TLS v 1.2. միացված է: Հավանաբար, կլինի տեղափոխություն դեպի TLV v 1.3. 2018 թ. ընթացքում: Qualys թեստը կցուցադրի, թե ինչ գաղտնագրման արձանագրություններ եք կիրառել, և ներկայումս, եթե օգտագործում եք ստորև ներկայացված TLS v 1.2., դուք կստանաք վատ գնահատական:

Գաղտնաբառ արձանագրությունների մասին մի վերջին բան ասել, երբ դուք գնում եք վեբ փաթեթ և SSL վկայագիր հիմնական մատակարարներից, ինչպիսիք են GoDaddy- ն, դա կլինի TLS v 1.2. ինչը լավ է, բայց գծից ավելի ներքև, դուք կարող եք դժվարանալ արդիականացնել ՝ ասելով TLS v 1.3. Անձամբ ես տեղադրում եմ իմ սեփական SSL վկայականները և, հետևաբար, վերահսկում եմ իմ ճակատագիրը, այսպես ասած:

Քայլ 2. Apache- ի վերակազմավորում ՝ SSL փոփոխություններ կատարելու համար

Կարևոր ոլորտներից մեկը, որը փորձարկվում է Qualys SSL թեստում և այս բաժնի ուշադրության կենտրոնում են Cipher փաթեթներն են, որոնք որոշում են ձեր փոխանցվող տվյալների գաղտնագրման ուժը: Ահա մի օրինակ ՝ Qualys SSL թեստից, իմ տիրույթներից մեկի վրա:

Cipher Suites # TLS 1.2 (ՍՈՒԻԹՍ սերվերի նախընտրելի պատվեր) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (eq. 3072 bits RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (EQ. 3072 bits RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (EQ. 3072 bits RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (eq. 3072 bits RSA) FS128

Դուք կարող եք շատ ժամանակ ծախսել ձեր Apache կոնֆիգուրացիայի վերակազմակերպման համար ՝ ձեր Qualys թեստի հաշվետվությունից կարմիր գծերը հեռացնելու համար (ձախողվում է), բայց ես խորհուրդ եմ տալիս հետևյալ մոտեցումը ՝ Cipher Suite- ի լավագույն կարգավորումները ստանալու համար:

1) Այցելեք Apache վեբ կայքը և ստացեք նրանց առաջարկությունները Cipher Suite- ի օգտագործման համար: Գրելու պահին ես հետևեցի այս հղմանը ՝

2) Ավելացրեք առաջարկվող կարգավորումը ձեր Apache կազմաձևման ֆայլում և վերագործարկեք Apache- ը: Սա նրանց առաջարկած կարգավորումն էր, որը ես օգտագործեցի:

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305-ECDHE-E35-E356-E3HE-E25 -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

Նշումներ. Մարտահրավերներից մեկն այն է, թե որ ֆայլն է անհրաժեշտ փոխել ձեր SSLCipherSuite հրահանգը: Դա անելու համար մուտք գործեք Putty և մուտք գործեք etc գրացուցակում (sudo cd /etc) Փնտրեք apache գրացուցակ, ինչպիսիք են apache2 կամ http: Հաջորդը, որոնեք apache գրացուցակում հետևյալ կերպ. Grep -r "SSLCipherSuite" /etc /apache2 - Սա ձեզ նման արդյունքի կտա.

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH: MEDIUM:! aNULL:! MD5:! RC4:! DES/etc/apache2/mods-available/ssl.conf: #SSLCipherSuite HIGH:! aNULL: ! MD5:! RC4:! DES /etc/apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH+3DES: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

Կարևորը, որ պետք է նշել, ֆայլը /etc/apache2/mods-available/ssl.conf կամ ինչ որ ձերն է: Բացեք ֆայլը ՝ օգտագործելով այնպիսի խմբագիր, ինչպիսին է nano- ն և անցեք # SSL Cipher Suite բաժին: Հաջորդը փոխարինեք SSLCipherSuite հրահանգի առկա գրառումը Apache- ի վեբ կայքի վերևով: Հիշեք մեկնաբանություններ ավելի հին SSLCipherSuite հրահանգների մասին և վերագործարկեք Apache- ը. Իմ դեպքում ես դա արել եմ ՝ մուտքագրելով sudo /etc/init.d/apache2 restart

Նկատի ունեցեք, որ երբեմն ձեզ հարկավոր է հեռացնել հատուկ ծածկագրեր, որոնք ձեզ տալիս են ցածր Qualys SSL թեստային գնահատական (ասենք, քանի որ հայտնաբերվել են նոր խոցելի վայրեր), չնայած որ դուք օգտագործել եք առաջարկվող Apache կարգավորումները: Օրինակ է, եթե ձեր Qualys հաշվետվության TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) հետևյալ տողը հայտնվի կարմիր գույնով (ձախողում): Առաջին քայլը այն է, թե որ կոդը պետք է փոխեք ձեր Apache SSLCipherSuite հրահանգում: Կոդը գտնելու համար այցելեք https://www.openssl.org/docs/man1.0.2/apps/ciphers…-սա ցույց է տալիս կոդը հետևյալ կերպ ՝ TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

Վերցրեք ECDHE-RSA-AES256-GCM-SHA384 և հեռացրեք այն ձեր մուտքագրածից որպես Apache Apache SSLCipherSuite հրահանգ և ավելացրեք այն մինչև վերջ ՝ դրան նախորդելով.!

Կրկին, վերագործարկեք Apache- ը և նորից փորձեք

Քայլ 3: Եզրակացություն

Ես գիտեմ, որ դուք ինչ -որ բան սովորել եք SSL թեստավորման մասին: Այս մասին սովորելու շատ ավելին կա, բայց հուսով եմ, որ ես ձեզ ցույց եմ տվել ճիշտ ուղղությամբ: Իմ հաջորդ ձեռնարկներում ես կներկայացնեմ կիբերանվտանգության այլ ոլորտներ, այնպես որ հետևեք: