مقابله با حملات Poodle و آسیب پذیری SSLv3

دسته بندی: امنیت
مقابله با حملات Poodle و آسیب پذیری SSLv3

آسیب پذیری و ضعف پروتکل SSLv3 مدت های زیادی است که در بستر اینترنت وجود دارد، در حملات Poodle ، مهاجم می تواند با سوء استفاده از ضعف موجود در پروتکل SSLv3 به ترافیک رمزنشده ی کاربر دست رسی پیدا کند. برای این کار لازم است مهاجم در ابتدا ارتباط کاربر را به نحوی تغییر دهد که در آن برای رمز نگاری از پروتکل قدیمی SSLv3 استفاده کند، این امر با استفاده از این ویژگی انجام می پذیرد که در صورت بروز خطا در برقراری یک ارتباط رمزنگاری، کارگزار یا سرویس گیرنده (در این جا مرورگر وب) سعی در ایجاد ارتباط با یک پروتکل قدیمی می کند.

این مشکل از یک ضعف در پروتکل SSLv3  ناشی می شود و تنها راه حل رفع این مشکل غیرفعال کردن این پروتکل میباشد.

روش های جلوگیری از آسیب پذیری Poodle در سرور

– غیر فعال کردن SSLv3 در وب سرور Apache

در فایل تنظیمات Apache  خط زیر را  اضافه ( یا ویرایش کنید)

SSLProtocol all -SSLv2 -SSLv3


- تنظیمات فایل configuration وب سرور apache  معمولا در مسیرهای زیر قرار دارد.
/etc/apache2 
/etc/httpd

در پایان apache  را  restart کنید.

– غیر فعال کردن SSLv3 در وب سرور Nginx

در فایل تنظیمات nginx.conf   خط زیر را  اضافه کنید.

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

در پایان سرویس nginx  را restart  کنید.

– غیرفعال کردن در سرویس Dovecot

فایل config  مربوط به dovecot  را ویرایش کنید.

/etc/dovecot/dovecot.conf

و مقادیر زیر را در آن قرار دهید.

ssl_protocols = !SSLv2 !SSLv3
 ssl_cipher_list = ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP

-غیرفعال کردن در سرویس Exim

فایل exim.conf را ویرایش نمایید و خط زیر را به آن اضافه کنید.

openssl_options = +no_sslv2 +no_sslv3
 tls_require_ciphers = ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP

– غیرفعال کردن SSLv3 در Directadmin

در فایل directadmin.conf مقادیر زیر را اضافه کنید.

ssl_cipher=ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP

در پایان سرویس  directadmin را  restart کنید.

 

 

امتیاز شما

مایلید هر دو هفته یک ایمیل مفید دریافت کنید؟

ما را در شبکه‌های اجتماعی دنبال کنید

همچنین شاید دوست داشته باشید!

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

این فیلد را پر کنید
این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.
شما برای ادامه باید با شرایط موافقت کنید

فهرست