Мы получили аудит от нашей местной группы кибербезопасности, в котором на одном из наших серверов отображается сообщение «Недостаточная защита транспортного уровня».
Согласно их описанию:
ОПИСАНИЕ: Сервер поддерживает следующие слабые шифры:
TLS_RSA_WITH_3DES_EDE_CBC_SHA [0x0a] RSA 3DES 168
Известно, что эти шифры имеют криптографические уязвимости, которые делают их непригодными для использования в SSL / TLS. "
Они предоставили следующее решение:
«РЕШЕНИЕ. Мы рекомендуем отключить поддержку наборов шифров экспорта и нулевого шифрования, а также наборов шифров с использованием RC4 / 3DES. Вместо этого мы предлагаем AES128-SHA для TLS 1.0 и 1.1 и AES128-GCM-SHA256 для TLS 1.2».
Пытаясь исправить это, я сделал вот что:
Заменил строку поддерживаемых наборов шифров на эту:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA256, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA256, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, SSL_CK_DES_192_EDE3_CBC_WITH_MD5
Перезагрузил сервер и запустил повторное тестирование с помощью служебного приложения nmap.
Мы провели повторное тестирование на нашем сервере, и оказалось, что уязвимость все еще исходит:
Наша коробка - это сервер Windows 2008 R2.
Есть ли другой способ решения этой проблемы?
новая строка набора шифров, которую вы установили, по-прежнему содержит шифры 3DES. Избавьтесь от всего в списке с помощью слова DES.