jueves, 16 de octubre de 2014

¿Como proteger tu servidor de Poodle?

Muy a pesar, no queda más que prescindir de SSLv3, el fallo de #Poodle descubierto por Google ha hecho bastante eco en un mundo dominado por la red.

Algunos servicios como CloudFlare ha deshabilitado por defecto el SSL y otros anuncian la inminente muerte del protocolo SSL.
En cuanto a los Sysadmin nos toca volver checar la configuración del servidor para tratar de protegernos, así que gracias a Scott Helme le replico los tips para proteger nuestros servidores.

Apache:


inhabilitar SSLv3 mediante la directiva:

SSLProtocol All -SSLv2 -SSLv3

Hacer un test de la configuración:

apachectl configtest

Reiniciar el Servidor.

sudo service apache2 restart


NGIX.


Inhabilitar el soporte SSL y dejar solamente TLS:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Hacer el test de funcionamiento:

sudo nginx -t

Reiniciar el Servidor.

sudo service nginx restart


IIS.


Entrar al registro de Windows:

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols

Para IIS es básicamente crear un nuevo registro con la el Nombre SSL 3.0 y una subclave Server , luego crear un DWORD con el nombre Enabled  y el valor a 0 . Tal como la siguiente imagen.


Microsoft ha sacado un boletín al respecto.

Para terminar, podemos hacer Test de Calidad SSL en https://www.ssllabs.com/ssltest/index.html.

En la página de Scott Helme existen otros tips para protegernos del lado del servidor, aunque básicamente se resume a inhabilitar SSL v3 y SSL 2.0 para dar uso solamente a TLS...


Saludos,

Luis Balam.
http://www.opencorebanking.com/


No hay comentarios: