Baru-baru ini, sebuah kerentanan baru di Diffie-Hellman, yang secara informal disebut 'logjam' telah diterbitkan, yang mana halaman ini telah disusun bersama-sama menyarankan cara untuk melawan kerentanan:
Kami memiliki tiga rekomendasi untuk menyebarkan Diffie-Hellman untuk TLS dengan benar:
- Nonaktifkan Suites Cipher Suites. Meskipun browser modern tidak lagi mendukung suite ekspor, serangan FREAK dan Logjam memungkinkan penyerang man-in-the-middle untuk mengelabui browser menggunakan kriptografi tingkat ekspor, setelah itu koneksi TLS dapat didekripsi. Cipher ekspor adalah sisa dari kebijakan era 1990-an yang mencegah protokol kriptografi yang kuat diekspor dari Amerika Serikat. Tidak ada klien modern yang mengandalkan suite ekspor dan ada sedikit kelemahan dalam menonaktifkannya.
- Menyebarkan (Ephemeral) Elliptic-Curve Diffie-Hellman (ECDHE). Elliptic-Curve Diffie-Hellman (ECDH) pertukaran kunci menghindari semua serangan cryptanalytic yang diketahui layak, dan browser web modern sekarang lebih memilih ECDHE daripada bidang, asli terbatas, Diffie-Hellman. Algoritma log diskrit yang kami gunakan untuk menyerang grup Diffie-Hellman standar tidak mendapatkan keuntungan yang kuat dari perhitungan sebelumnya, dan masing-masing server tidak perlu menghasilkan kurva eliptik yang unik.
- Hasilkan Diffie Hellman Group yang Kuat dan Unik . Beberapa grup tetap digunakan oleh jutaan server, yang menjadikannya target optimal untuk komputasi awal, dan potensi penyadapan. Administrator harus membuat grup Diffie-Hellman yang unik, 2048-bit atau lebih kuat menggunakan bilangan prima "aman" untuk setiap situs web atau server.
Apa langkah praktik terbaik yang harus saya ambil untuk mengamankan server saya sesuai rekomendasi di atas?
apache-2.2
ssl
apache-2.4
httpd
vulnerability
Christophe De Troyer
sumber
sumber
Jawaban:
Dari artikel yang Anda tautkan , ada tiga langkah yang disarankan untuk melindungi diri Anda dari kerentanan ini. Pada prinsipnya langkah-langkah ini berlaku untuk perangkat lunak apa pun yang dapat Anda gunakan dengan SSL / TLS tetapi di sini kami akan membahas langkah-langkah spesifik untuk menerapkannya ke Apache (httpd) karena itu adalah perangkat lunak yang dimaksud.
Diatasi dalam perubahan konfigurasi yang akan kami buat di 2. di bawah ini (di
!EXPORT
dekat akhirSSLCipherSuite
baris adalah bagaimana kami akan menonaktifkan suite cipher ekspor)Untuk ini, Anda perlu mengedit beberapa pengaturan di Apache file konfigurasi Anda - yaitu
SSLProtocol
,SSLCipherSuite
,SSLHonorCipherOrder
untuk memiliki "-praktek terbaik" setup. Sesuatu seperti yang berikut ini sudah cukup:Catatan: untuk
SSLCipherSuite
pengaturan mana yang digunakan, ini selalu berubah, dan merupakan ide bagus untuk berkonsultasi dengan sumber daya seperti ini untuk memeriksa konfigurasi yang disarankan terbaru.Untuk melakukannya, Anda dapat berlari
openssl dhparam -out dhparams.pem 2048
.Perhatikan bahwa ini akan menempatkan beban yang signifikan pada server saat params dihasilkan - Anda selalu dapat mengatasi potensi masalah ini dengan membuat params pada mesin lain dan menggunakan
scp
atau serupa untuk mentransfernya ke server yang bersangkutan untuk digunakan.Untuk menggunakan ini yang baru dibuat
dhparams
di Apache, dari Dokumentasi Apache :(penekanan milikku)
yang kemudian diikuti oleh parameter DH 1024-bit standar. Dari sini kita dapat menyimpulkan bahwa parameter DH yang dibuat khusus dapat dengan mudah ditambahkan ke yang bersangkutan
SSLCertificateFile
.Untuk melakukannya, jalankan sesuatu yang mirip dengan yang berikut:
cat /path/to/custom/dhparam >> /path/to/sslcertfile
Atau, sesuai dengan ayat Apache dari artikel yang Anda tautkan sebelumnya, Anda juga dapat menentukan file dhparams khusus yang telah Anda buat jika Anda memilih untuk tidak mengubah file sertifikat itu sendiri, dengan demikian:
SSLOpenSSLConfCmd DHParameters "/path/to/dhparams.pem"
di mana konfigurasi Apache relevan dengan implementasi SSL / TLS Anda - umumnya dalam
conf.d/ssl.conf
atauconf.d/vhosts.conf
tetapi ini akan berbeda tergantung pada bagaimana Anda telah mengkonfigurasi Apache.Perlu dicatat bahwa, sesuai tautan ini ,
Pada Debian Wheezy, tingkatkan apache2 ke 2.2.22-13 + deb7u4 atau lebih baru dan openssl ke 1.0.1e-2 + deb7u17. SSLCipherSuite di atas tidak berfungsi dengan baik, gunakan yang berikut ini sesuai blog ini :
Anda harus memeriksa apakah versi Apache Anda lebih lama dari nomor versi ini tergantung pada distribusi Anda, dan jika tidak - perbarui jika memungkinkan.
Setelah Anda melakukan langkah-langkah di atas untuk memperbarui konfigurasi Anda, dan memulai kembali layanan Apache untuk menerapkan perubahan, Anda harus memeriksa bahwa konfigurasi seperti yang diinginkan dengan menjalankan tes pada SSLLab dan pada artikel yang terkait dengan kerentanan khusus ini.
sumber
Berdasarkan sepetak Winni Neessen, saya telah menerbitkan perbaikan untuk Apache / 2.2.22 (Debian Wheezy, mungkin juga dapat digunakan di Ubuntu): https://flo.sh/debian-wheezy-apache2-logjam-fix/ - thx . atas tanggapan Anda.
sumber
Alih-alih menggunakan rute kompleks 'peretasan' di atas, pertimbangkan beralih ke nginx sebagai perangkat lunak server-web utama Anda (bukan hanya caching atau proxy). Tampaknya lebih sesuai dengan standar saat ini, dari sisi keamanan, daripada mesin apache lama. Dengan menggunakan repositori nginx itu memberi Anda cara yang lebih up-to-date mesin-webser stabil daripada apache.
Saya benar-benar beralih. Menyelamatkan saya banyak penyelesaian masalah yang memakan waktu mengenai TLS, dan - untuk konfigurasi kami - itu juga membebaskan banyak RAM di jalan yang sama. Bahkan, saya menemukan pekerjaan nginx menyegarkan sederhana dan mudah, dibandingkan dengan banyak komplikasi konfigurasi httpd / apache saya sudah terbiasa. Bisa jadi soal selera, saya menjadi cukup lancar dalam httpd / apache rewrite / config / maintenance sebelum saya berbalik, dan itu lebih mudah daripada yang saya khawatirkan. Ada info terbaru yang sesuai tentang konfigurasi nginx yang tersedia online, dan basis penggunanya sangat besar, sangat aktif, dan ramah dukungan. https://news.netcraft.com/wp-content/uploads/2018/11/wpid-wss-top-1m-share.png
sumber