თქვენს ვებ სერვერზე SSL სერვისების გაძლიერება (Apache/ Linux): 3 ნაბიჯი

2024 ავტორი: John Day | [email protected]. ბოლოს შეცვლილი: 2024-01-30 10:20

ეს არის ძალიან მოკლე გაკვეთილი, რომელიც ეხება კიბერუსაფრთხოების ერთ ასპექტს - ssl სერვისის სიძლიერეს თქვენს ვებ სერვერზე. ფონი არის ის, რომ ssl სერვისები თქვენს ვებგვერდზე გამოიყენება იმის უზრუნველსაყოფად, რომ არავის შეუძლია გატეხოს მონაცემები, რომლებიც გადადის თქვენს ვებსაიტზე და მისგან. იყო კარგად გამოქვეყნებული თავდასხმები დაუცველ SSL სერვისებზე, როგორიცაა Heartbleed bug OpenSSL– ში და Poodle შეცდომები, რომლებიც იყენებდნენ SSL 3.0 დაუცველობას. (ეს ტერიტორია არის მოძრავი სამიზნე, ასე რომ თქვენ უნდა შეიმუშაოთ SSL ტესტირება თქვენს ISO 27001 გეგმაში ჩადება-შემოწმება-მოქმედება (PDCA) ციკლში.)

როდესაც ssl დაინსტალირდება თქვენს საიტზე აღიარებული პროვაიდერის სერტიფიკატის გამოყენებით, ნახავთ, რომ თქვენს ვებგვერდზე წვდომა შესაძლებელია https://yourdomain.com– დან. ეს ნიშნავს, რომ მონაცემები გადადის წინ და წინ დაშიფრული ფორმატით. ამის საპირისპიროდ, https://yourdomain.com ან სუსტი დაშიფვრა გამოაქვეყნებს გადაცემულ მონაცემებს მკაფიო ტექსტში, რაც იმას ნიშნავს, რომ ბავშვს ჰაკერსაც კი შეუძლია წვდომა იქონიოს თქვენს პაროლის მონაცემებზე და ა.შ. ადვილად ხელმისაწვდომი ინსტრუმენტების გამოყენებით, როგორიცაა Wireshark.

ამ გაკვეთილის დანარჩენ ნაწილში მე ვივარაუდებ, რომ თქვენ გამოიყენებთ Apache– ს როგორც თქვენს ვებ სერვერს Linux– ზე და რომ თქვენ გექნებათ წვდომა თქვენს ვებ სერვერზე ტერმინალური ემულატორის საშუალებით, როგორიცაა putty. სიმარტივისთვის, მე ასევე ვაპირებ ვივარაუდოთ, რომ თქვენმა ინტერნეტ პროვაიდერმა მოგვაწოდა თქვენი SSL სერთიფიკატი და თქვენ გაქვთ შესაძლებლობა ხელახლა დააკონფიგურიროთ მისი ზოგიერთი ასპექტი.

ნაბიჯი 1: შეამოწმეთ თქვენი SSL სერვისის სიძლიერე

უბრალოდ გადადით https://www.ssllabs.com/ssltest/ და შეიყვანეთ თქვენი დომენის სახელი მასპინძლის სახელის ყუთის გვერდით და შეარჩიეთ ჩამრთველი "არ გამოჩნდეს შედეგები დაფებზე" და დააწკაპუნეთ წარდგენის ღილაკზე. (გთხოვთ გაითვალისწინოთ, რომ თქვენ არ უნდა გამოსცადოთ ნებისმიერი დომენი წინასწარი ნებართვის გარეშე და არასოდეს უნდა აჩვენოთ შედეგები დაფებზე.)

ტესტების ჩატარების შემდეგ თქვენ მოგეცემათ ანგარიში F– დან A+ - მდე. თქვენ მოგეცემათ ტესტის დეტალური შედეგები, რომლებიც იმედია თქვენთვის ცხადი გახდება, თუ რატომ მიგიღიათ თქვენი მინიჭებული ქულა.

წარუმატებლობის ჩვეულებრივი მიზეზებია ის, რომ თქვენ იყენებთ მოძველებულ კომპონენტებს, როგორიცაა შიფრები ან პროტოკოლები. მალე გავამახვილებ ყურადღებას შიფრებზე, მაგრამ პირველ რიგში მოკლედ კრიპტოგრაფიული პროტოკოლების შესახებ.

კრიპტოგრაფიული პროტოკოლები უზრუნველყოფენ კომუნიკაციის უსაფრთხოებას კომპიუტერულ ქსელში. … კავშირი არის პირადი (ან უსაფრთხო), რადგან სიმეტრიული კრიპტოგრაფია გამოიყენება გადაცემული მონაცემების დასაშიფრად. ორი ძირითადი პროტოკოლი არის TLS და SSL. ამ უკანასკნელის გამოყენება აკრძალულია და, თავის მხრივ, TLS ვითარდება და ასე რომ, როდესაც ამას ვწერ, უახლესი ვერსია არის 1.3, თუმცა დრაფტის ფორმატში. პრაქტიკული თვალსაზრისით, 2018 წლის იანვრის მონაცემებით, თქვენ უნდა გქონდეთ მხოლოდ TLS v 1.2. ჩართულია ალბათ იქნება გადასვლა TLV v 1.3 -ზე. 2018 წლის განმავლობაში. Qualys– ის ტესტი ჩამოთვლის რა კრიპტოგრაფიულ პროტოკოლებს იყენებთ და ამჟამად, თუ იყენებთ ქვემოთ მოცემულ TLS v 1.2 – ს, მიიღებთ ცუდ ქულას.

კრიპტოგრაფიულ პროტოკოლებზე ბოლო ერთი უნდა ითქვას, როდესაც თქვენ ყიდულობთ ვებ პაკეტს და SSL სერთიფიკატს ძირითადი პროვაიდერისგან, როგორიცაა GoDaddy, ეს იქნება TLS v 1.2. რაც კარგია, მაგრამ ხაზის ქვემოთ, თქვენ შეიძლება გაგიჭირდეთ განახლება თქვას TLS v 1.3. პირადად მე ვაყენებ ჩემს SSL სერთიფიკატებს და, შესაბამისად, მე ვაკონტროლებ ჩემს ბედს.

ნაბიჯი 2: Apache– ის ხელახალი კონფიგურაცია SSL ცვლილებების შესატანად

ერთ -ერთი მნიშვნელოვანი სფერო, რომელიც შემოწმებულია Qualys SSL ტესტში და ამ განყოფილების ფოკუსია Cipher suites, რომელიც განსაზღვრავს თქვენი გადაცემული მონაცემების დაშიფვრის სიძლიერეს. აქ მოცემულია Qualys SSL ტესტის მაგალითი ჩემს ერთ დომენზე.

Cipher Suites # TLS 1.2 (კრებული სერვერზე სასურველი თანმიმდევრობით) TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (ეკვ. 3072 ბიტი RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (ეკვ. 3072 ბიტი RSA) FS128TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (ეკვ. 3072 bits RSA) FS256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (ექვივალენტი 3072 ბიტი RSA) FS128

თქვენ შეიძლება გაატაროთ ბევრი დრო თქვენი Apache კონფიგურაციის ხელახლა კონფიგურაციისთვის, რათა ამოიღოთ წითელი ხაზები (ვერ ხერხდება) თქვენი Qualys ტესტის ანგარიშიდან, მაგრამ მე გირჩევთ შემდეგ მიდგომას Cipher Suite– ის საუკეთესო პარამეტრების მისაღებად.

1) ეწვიეთ Apache ვებსაიტს და მიიღეთ მათი რეკომენდაციები Cipher Suite– ის გამოსაყენებლად. წერის დროს მივყევი ამ ბმულს -

2) დაამატეთ რეკომენდებული პარამეტრი თქვენს Apache კონფიგურაციის ფაილს და გადატვირთეთ Apache. ეს იყო მათი რეკომენდებული პარამეტრი, რომელიც მე გამოვიყენე.

SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-CHACHA20-POLY1305-ECDE-E35-E356: ECDH-E353: ECDH-E353: -AES128-GCM-SHA256: ECDHE-ECDSA-AES256-SHA384: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA256

შენიშვნები - ერთ -ერთი გამოწვევაა იპოვოთ რომელი ფაილი გჭირდებათ თქვენი SSLCipherSuite დირექტივის შესაცვლელად, ამისათვის შედით Putty– ში და შედით etc დირექტორიაში (sudo cd /etc) მოძებნეთ apache დირექტორია, როგორიცაა apache2 ან http. შემდეგი, მოძებნეთ apache დირექტორია შემდეგნაირად: grep -r "SSLCipherSuite" /etc /apache2 - ეს მოგცემთ მსგავს გამომავალს:

/etc/apache2/mods-available/ssl.conf:#SSLCipherSuite HIGH: MEDIUM:! aNULL:! MD5:! RC4:! DES/etc/apache2/mods-available/ssl.conf: #SSLCipherSuite HIGH:! aNULL: ! MD5:! RC4:! DES/და ა.შ.apache2/mods-available/ssl.conf:#SSLCipherSuite ECDH+AESGCM: DH+AESGCM: ECDH+AES256: DH+AES256: ECDH+AES128: DH+AES: ECDH+3DES: DH+3DES: RSA+AESGCM: RSA+AES: RSA+3DES:! ANULL:! MD5:! DSS

მნიშვნელოვანი, რაც უნდა აღინიშნოს არის ფაილი /etc/apache2/mods-available/ssl.conf ან რაც არის თქვენი. გახსენით ფაილი ისეთი რედაქტორის გამოყენებით, როგორიცაა ნანო და გადადით განყოფილებაზე # SSL შიფრირების კომპლექტი:. შემდეგ შეცვალეთ არსებული ჩანაწერი დირექტიულ SSLCipherSuite– ით Apache– ს ვებ – გვერდიდან. დაიმახსოვრე ძველი SSLCipherSuite დირექტივის კომენტარი და გადატვირთე Apache - ჩემს შემთხვევაში, ეს გავაკეთე sudo /etc/init.d/apache2 გადატვირთვის აკრეფით

გაითვალისწინეთ, რომ ზოგჯერ შეიძლება დაგჭირდეთ კონკრეტული შიფრების ამოღება, რომლებიც მოგცემთ Qualys SSL ტესტის დაბალ ქულას (ვთქვათ, რადგან აღმოჩენილია ახალი სუსტი წერტილები), მიუხედავად იმისა, რომ თქვენ იყენებთ Apache– ს რეკომენდებულ პარამეტრებს. მაგალითია, თუ ქვემოთ მოყვანილი ხაზი გამოჩნდება წითლად (ვერ მოხდება) თქვენს Qualys მოხსენებაში TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) პირველი ნაბიჯი არის იპოვოთ რომელი კოდი უნდა შეცვალოთ თქვენს Apache SSLCipherSuite დირექტივაში. კოდის საპოვნელად გადადით https://www.openssl.org/docs/man1.0.2/apps/ciphers…-ეს აჩვენებს კოდს შემდეგნაირად: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384

მიიღეთ ECDHE-RSA-AES256-GCM-SHA384 და ამოიღეთ ის ჩანაწერიდან, რომელიც თქვენ დაამატეთ როგორც Apache Apache SSLCipherSuite დირექტივა და შემდეგ დაამატეთ ბოლომდე წინამორბედზე:!

ისევ გადატვირთეთ Apache და ხელახლა შეამოწმეთ

ნაბიჯი 3: დასკვნა

მე ვიცი, რომ თქვენ ისწავლეთ რამე SSL ტესტირების შესახებ. ამის სწავლა კიდევ ბევრია, მაგრამ იმედია, მე სწორი მიმართულებით მიგითითეთ. ჩემს მომავალ გაკვეთილებში მე კიბერ უსაფრთხოების სხვა სფეროებს გავაშუქებ, ასე რომ იყავით თვალყური.