14 Ekim 2014 tarihinde duyurulan SSL v3 zaafiyeti POODLE (Padding Oracle On Downgraded Legacy Encryption) açıklığı ile SSL üzerinden gerçekleştirilen trafiğe Ortadaki adam saldırısı (man-in-the-middle attack) ile erişilebilir duruma getiriyor.
CVE-2014-3566 açıklık ID’si ile yayınlanan POODLE’a karşı sunucu ve istemci tarafında güvenlik önlemleri alınması gerekiyor.
İSTEMCİ TARAFI
POODLE’ın işlemesi için sunucu ve istemcinin her ikisinde de SSLv3 protokolünün desteği gerekiyor. Bu da kullanılan istemci yazılımlarda SSLv3’ün kapatılmasını gerektiriyor.
Chrome ve Firefox bir sonraki güncellemede SSLv3 desteğini kaldıracağını ifade etti, ancak diğer kullandığınız istemci yazılımlarında SSLv3 aktif olup olmadığını kontrol etmenizi öneririz.
SUNUCU TARAFI
Sunucu taraflı temel uygulamalar için örnek konfigürasyonlar;
NGINX
sudo nano /etc/nginx/nginx.conf
ile açarak,
SSL protokol desteği aşağıdaki örnekteki gibi değiştirilmeli (SSLv3 olmamalı…)
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
sudo service nginx restart
APACHE WEB SERVER
UBUNTU
sudo nano /etc/apache2/mods-available/ssl.conf
Konfigürasyon dosyasında,
CENTOS
sudo nano /etc/httpd/conf.d/ssl.conf
Konfigürasyon dosyasında,
protokol desteği;
SSLProtocol all -SSLv3 -SSLv2
şeklinde olmalıdır,
Servisi yeniden başlatmak için;
UBUNTU >
sudo service apache2 restart
CENTOS >
sudo service httpd restart
HAProxy Load Balancer
sudo nano /etc/haproxy/haproxy.cfg
konfigürasyon dosyası açılarak,
frontend name
bind public_ip:443 ssl crt /path/to/certs no-sslv3
no-sslv3 eklenmeli.
sudo service haproxy restart
ile servis yeniden başlatılmalı
OpenVPN VPN Server
OpenVPN Server SSLv3 desteği bulunmamakta.
Postfix SMTP Server
sudo nano /etc/postfix/main.cf
ile açılarak,
smtpd_tls_mandatory_protocols=!SSLv2, !SSLv3
şeklinde değiştirilmeli,
sudo service postfix restart
Dovecot IMAP and POP3 Server
sudo nano /etc/dovecot/conf.d/10-ssl.conf
ile açılarak,
ssl_protocols = !SSLv3 !SSLv2
şeklinde değiştirilmeli,
sudo service dovecot restart
Yerel SSL3 testi…
openssl s_client -connect www.sibersan.com:443 -ssl3
Çıktıda;
routines:SSL3_READ_BYTES:sslv3 alert handshake failure
Görüyorsak SSLv3 desteği yoktur…
STANDART REFERANS: ISO 27001:2013
A.10.1.1
A.10.1.2
A.12.6.1
A.12.7.1
A.13.2.1
A.13.2.3
A.14.1.3
A.14.2.8
Kaynak: DigitalOcean
|
____ Innovation Science Labs ____
|