RHEL 4 पर चल रहे Apache 2.0 पर BEAST भेद्यता को ठीक करना

मेरे पास RHEL4 पर Apache 2.0 पर चलने वाला एक वेब सर्वर है। यह सर्वर हाल ही में पीसीआई स्कैन में विफल रहा।

कारण: SSLv3.0 / TLSv1.0 प्रोटोकॉल कमजोर CBC मोड भेद्यता समाधान: यह हमला 2004 में पहचाना गया था और बाद में TLS प्रोटोकॉल के संशोधन जिसमें इसके लिए एक निर्धारण शामिल है। यदि संभव हो तो, TLSv1.1 या TLSv1.2 में अपग्रेड करें। यदि TLSv1.1 या TLSv1.2 में अपग्रेड करना संभव नहीं है, तो CBC मोड सिफर को अक्षम करने से भेद्यता दूर हो जाएगी। अपाचे में निम्नलिखित एसएसएल कॉन्फ़िगरेशन का उपयोग करने से यह भेद्यता कम हो जाती है: एसएसएलफिशरसुइट आरसी 4-एसएए पर एसएसएचओनॉरसीफायरऑर्डर: उच्च:! एडीएच

सरल तय, मैंने सोचा। मैंने अपाचे कॉन्फ़िगरेशन में लाइनें जोड़ीं और यह काम नहीं किया। जाहिरा तौर पर
"SSLHonorCipherOrder On" केवल Apache 2.2 और बाद में ही काम करेगा। मैंने अपाचे को अपग्रेड करने की कोशिश की, जल्द ही निर्भरता नरक में भाग गई और ऐसा लगता है कि मुझे अपाचे 2.2 में अपग्रेड करने के लिए पूरे ओएस को अपग्रेड करना होगा। हम इस सर्वर को कुछ महीनों में रिटायर कर रहे हैं, इसलिए यह इसके लायक नहीं है।

समाधान कहता है "यदि TLSv1.1 या TLSv1.2 में अपग्रेड करना संभव नहीं है, तो CBC मोड सिफर को अक्षम करने से भेद्यता दूर हो जाएगी।"

मैं अपाचे 2.0 पर यह कैसे करूंगा? क्या यह भी संभव है? यदि नहीं, तो क्या कोई अन्य काम है?

हाथ से एक नया अपाचे संकलित करने के अलावा, केवल एक चीज जिसे मैं आरसी 4-एसएचए एकमात्र समर्थित सिफर बनाने के लिए सोच सकता हूं ( openssl ciphers RC4-SHAवर्तमान ओपनसेल पर परीक्षण किया गया है, यह सुनिश्चित करने के लिए कि यह केवल एक सिफर प्रिंट करता है, आप ऐसा ही करना चाहते हैं। यह सुनिश्चित करने के लिए कि यह आपके पुराने ओपस्नल पर कुछ अजीब पुराने सिफर से मेल नहीं खाता है):

SSLCipherSuite RC4-SHA

MS का कहना है कि Windows XP का समर्थन TLS_RSA_WITH_RC4_128_SHA करता है ताकि आपको कोई अनुकूलता समस्या न हो।

सर्वर स्तर पर BEAST को "ठीक" करने के केवल दो तरीके हैं।

सबसे अच्छा विकल्प अपने सर्वर के एसएसएल लाइब्रेरी को टीएलएस v1.1 या बाद में समर्थन करने वाले को अपग्रेड करना है (और सुनिश्चित करें कि आपके ग्राहक भी इसका समर्थन करते हैं, इसलिए आप उन्हें इसका उपयोग करने के लिए मजबूर कर सकते हैं)।

अन्य विकल्प किसी भी CBC (Cypher-Block-Chaining) एन्क्रिप्शन एल्गोरिदम को निष्क्रिय करना है और ECB (इलेक्ट्रॉनिक कोड बुक) साइबरफ़ेयर पर स्विच करना है या RC4 (ECB एल्गोरिदम जैसे कुछ सैद्धांतिक रूप से "कम सुरक्षित" हैं क्योंकि किसी दिए गए प्लेनटेक्स्ट इनपुट को दिए गए एन्क्रिप्टेड कुंजी हमेशा एक ही साइफोर्टेक्स्ट पर वापस मैप करती है जो ज्ञात प्लेनटेक्स्ट हमलों के साथ तोड़ना आसान बनाता है, लेकिन व्यावहारिक रूप से यह एक बड़ी समस्या नहीं है। Google (उदाहरण के रूप में) अभी भी RC4 का उपयोग करता है)।

चूँकि आप जो सर्वर चला रहे हैं वह मृत है, दफन है, और इसे डीपोम्पोज़ करना संभवत: इस प्रयास के लायक नहीं है कि इसके लिए एक अपाचे अपाचे को बनाने की आवश्यकता होगी (आपको अलगाव में अपाचे और ओपनएसएसएल के पुनर्निर्माण की आवश्यकता होगी, ताकि कुछ भी परेशान न करें डिफ़ॉल्ट रूप से आपके सिस्टम पर इंस्टॉल किए गए OpenSSL के संस्करण की आवश्यकता है - यदि आप वह काम कर रहे हैं, तो आप पूरी प्रणाली को किसी ऐसी चीज के लिए अपग्रेड कर सकते हैं जो वास्तव में समर्थित है), ताकि बहुत ज्यादा आपको "स्विच टू ईसीबी साइफर्स" के रूप में छोड़ दिया जाए। अपने व्यवहार्य समाधान।

BEAST वास्तव में इन दिनों एक हमले का कोई कारण नहीं है - सभी लोकप्रिय ब्राउज़रों (IE, क्रोम, सफारी, ओपेरा) ने एक प्रभावी वर्कअराउंड लागू किया है , और हमले के काम करने के तरीके के कारण ब्राउज़र के बाहर इसे लागू करना काफी कठिन है (इसलिए aptऔर yumअभी भी बहुत सुरक्षित हैं)।

Google के एडम लैंगली ने इस साल की शुरुआत में एक शानदार बात की, जो कुछ ऐसे दर्द बिंदुओं को रेखांकित करता है, जिन पर आपको फिर से ध्यान केंद्रित करना चाहिए: SSL और सुरक्षा - जबकि BEAST ने उल्लेख किया कि यह उन चीजों की सूची में सबसे नीचे था जिनके बारे में चिंतित होना चाहिए।

एकमात्र समाधान जो मैंने पाया है कि आपको ssllabs.com परीक्षा पास करने के लिए मिलेगा, अपनी Apache httpd.conf और अपनी ssl.conf फ़ाइलों में निम्न चार पंक्तियाँ जोड़ना होगा:

SSLHonorCipherOrder ऑन

SSLProtocol -all + TLSv1 + SSLv3

SSLCipherSuite RC4-SHA: HIGH:! MD5:! ANULL:! EDH: ADH

SSLInsecureRenegotiation बंद करें

सुनिश्चित करें कि आपके पास इनमें से कोई भी सेटिंग ssl.conf फ़ाइल में दो बार पोस्ट नहीं की गई है।

अब मेरी साइटें A से गुजरती हैं।