TLS/SSL Sweet32 attack 、TLS/SSL Weak Cipher Suites漏洞检测及修复

于 2024-04-03 17:52:19 发布
阅读量1.4k 收藏 29
点赞数 25
文章标签: ssl 网络 安全 linux 服务器 运维 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq274575499/article/details/137351733
版权

使用漏扫检测时网站扫描出两个TLS/SSL中危漏洞。

漏洞解释:

TLS/SSL Weak Cipher Suites -----TLS/SSL弱密码
TLS/SSL Sweet32 attack------TLS/SSL Sweet32攻击 

首先了解下TLS/SSL.

TLS定义

TLS(Transport Layer Security,安全传输层),一种加密协议。TLS是建立在传输层TCP协议之上的协议,服务于应用层,它的前身是SSL(Secure Socket Layer,安全套接字层),以SSL 3.0 作为基础版。它实现了将应用层的报文进行加密后再交由TCP进行传输的功能。

TLS如何工作

TLS可以用于传输层安全协议(例如TCP)之上。TLS包含三个主要组件:加密,身份验证和完整性。

  • 加密:隐藏从第三方传输的数据。(通过加密方式实现)
  • 认证:确保交换信息的各方是他们声称的身份。(双方认证证书)
  • 完整性:验证数据是否未被伪造或篡改。(MAC 地址

TLS 发展过程

  • 1995: SSL 2.0, 由Netscape提出,这个版本由于设计缺陷,并不安全,很快被发现有严重漏洞,已经废弃。
  • 1996: SSL 3.0. 写成RFC,开始流行。目前(2015年)已经不安全,必须禁用。
  • 1999: TLS 1.0. 互联网标准化组织ISOC接替NetScape公司,发布了SSL的升级版TLS 1.0版
  • 2006: TLS 1.1. 作为 RFC 4346 发布。主要修复了CBC模式相关的如BEAST攻击等漏洞
  • 2008: TLS 1.2. 作为 RFC 5246 发布 。增进安全性,目前应该主要部署的版本
  • 2015之后: TLS 1.3,还在制订中,支持0-rtt,大幅增进安全性,砍掉了aead之外的加密方式

什么是 SSL

其实就是上面说的 Secure Socket Layer,安全套接字层。位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。
TLS 则是以SSL 3.0 作为基础推出的。

漏洞检测:

一般出现的问题是在ssh和https服务上使用了DES、3DES算法。

使用nmap扫描检测:nmap -sV --script ssl-enum-ciphers -p 443 ip;备注-p (端口为实际端口,例如有些端口为8443),ip为要测试的地址。

解决办法:

1. 禁用SSL 2.0 和 SSL 3.0

Internet Explorer 6是唯一仍使用SSL 3.0的浏览器。因此,除非仍然需要支持旧版Internet Explorer 6浏览器,否则应禁用SSL 3.0。

2. 禁用 TLS 1.0 和 1.1

除非需要支持旧版浏览器,否则还应禁用TLS 1.0和TLS 1.1,或升级到高版本。

3、apache:

禁止apache服务器使用RC4加密算法。

vim /etc/httpd/conf.d/ssl.conf

修改为如下配置 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4:!3DES:!DES 

重启apache服务:systemctl restart httpd

4、Nginx:

禁止apache服务器使用RC4加密算法。

vim /etc/nginx/nginx.conf的ssl_ciphers

修改为  ssl_ciphers ALL:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DES:!3DES

重启nginx服务 :systemctl restart nginx.service

5、ssh:

禁用DES、3DES算法。

vim /etc/ssh/ssh_config
修改Ciphers为: Ciphers aes128-ctr,aes192-ctr,aes256-ctr

重启sshd服务:systemctl restart sshd

6、Windows 远程桌面

使用 Windows FIPS 代替 SSL 加密
1)启用 FIPS
操作步骤:管理工具 -> 本地安全策略 -> 安全设置 -> 本地策略 -> 安全选项 -> 找到”系统加密:将 FIPS 兼容算法用于加密、哈希和签名”选项 -> 右键”属性” -> 在”本地安全设置”下,选择”已启用(E)”,点击”应用”、”确定”

2)禁用 SSL 密码套件
操作步骤:’Win + R’,键入”gpedit.msc”,打开”本地组策略编辑器” -> 计算机配置 -> 网络 -> SSL 配置设置 -> 在”SSL密码套件顺序”选项上,右键”编辑” -> 在”SSL 密码套件顺序”选在”已禁用(D)” ,点击”应用”、”确定”

3)删除默认CA认证书
操作步骤:’Win + R’,键入”mmc”,打开”管理控制台” -> ”文件” -> ”添加/删除管理单元(M)” -> 在”可用的管理单元”下选择”证书” -> 单击”添加” -> 在”证书管理单元”中选择”计算机用户(C)”,点击”下一步” -> 在”选择计算机”中选择”本地计算机(运行此控制台的计算机)(L)”,单击”完成” -> 回到”添加/删除管理单元”,单击”确定” -> 回到”控制台” -> ”证书(本地计算机)” -> ”远程桌面” -> ”证书”->在默认证书上右键”删除”

注意事项:

禁用后服务端将不使用 DES/3DES 加密方式,例如IE6、IE7、Windows XP 操作系统将无法访问站点。需根据使用情况禁用。

QYpiying
关注
  • 25
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
SSL/TLS协议信息泄露漏洞(CVE - 2016 - 2183)/SWEET32漏洞修复工具
08-28
用于移除系统中可能存在的脆弱加密套件 支持win7及以上系统,包括Server版本 需要手动重启后生效
SSL/TLS安全漏洞及SLB安全漏洞问题
qq_38254635的博客
12-27 1万+
SSL/TLS安全漏洞及SLB安全漏洞问题
SSL漏洞 TLS/SSL Sweet32 attack || TLS/SSL Wrak Cipher Suites[解决]
Mankel
01-13 1万+
SSL漏洞问题[解决]前言1、升级openssl版本2.1 安装2.2 备份2.3 创建软连接2.4 查看openssl版本2.5 重新扫描,发现漏洞任未解决2、重新编译nginx2.1 openssl前置2.2 重新编译安装2.3 验证 前言 扫描网站发现有两个跟SSL相关的中级漏洞 TLS/SSL Sweet32 attack TLS/SSL Wrak Cipher Suites 1、升级openssl版本 2.1 安装 wget -P /usr/local/src https://infra-res
SSL/TLS Cipher Suites
顺其自然~专栏
02-25 2931
Cipher Suite 一个加密算法套件(CipherSuite)是一个四件套,由各类基础的加密算法组成,主要包含了四类: Key Exchange 密钥交换算法; Authentication 身份认证算法; Encryption 对称加密算法; Message Authentication Code 消息认证码算法(信息摘要缩放); 密钥交换算法 顾名思义,该算法用来交换秘钥。 SSL 通信过程(握手结束后)中,双方使用的是对称加密的方式 。由于通信双方以前并不知道彼此的存在,它们也
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 20万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
s2n:TLS / SSL协议的实现-C/C++开发
05-26
s2n是TLS / SSL协议的C99实现,旨在简单,小巧,快速且以安全性为优先。 它是根据Apache Software License 2.0发布并获得许可的。 使用s2n s2n I / O s2n是TLS / SSL协议的C99实现,旨在简单,小型,快速且以安全性...
tls.rar_ tls protocol_TLS_ssl_ssl/tls_tls pdf
09-19
一个关于ssl通信协议的文档,需要的可以下载
SSL Medium Strength Cipher Suites Supported (SWEET32) 漏洞修复
一纸荒芜的博客
06-12 5940
nessus漏扫的漏洞修复
traefik TLS/SSL 修复sweet32漏洞 [安全加固]——筑梦之路
筑梦之路
03-01 1297
之前已经写过关于nginx K8S组件修复sweet32安全漏洞的相关文章,关于sweet32安全漏洞就不再做过多的介绍,查阅了一些资料,很少有关于traefik修复SWEET32安全漏洞的相关文章,今天这里写一下如何修复traefik此漏洞,增强安全性。
SSL-TLS安全漏洞及SLB安全漏洞问题
最新发布
dzqxwzoe的博客
03-07 1128
测试环境,域名直接打到nginx上,所以在nginx的配置上修改TSL相关配置,都可以直接在域名中体现,手动设置1.2并排除DES-CBC3-SHA加密算法套件,就可以解决改问题。(2.4可以印证)。生产环境,开了阿里云的SLB,这导致域名并非直接打到nginx上。域名先打到SLB上,然后SLB在负载到nginx上,于是基于这种机制,对于nginx的修改,并不会对域名相关的漏洞有影响。不同点:SLB。
Windows服务器中防御LOGJAM攻击与Sweet32攻击
【CSDN】
03-08 3745
Windows服务器中防御LOGJAM攻击与Sweet32攻击https://www.cnblogs.com/masahiro/p/15272066.html LOGJAM 攻击是一个 SSL/TLS 漏洞,允许攻击者拦截易受攻击的客户端和服务器之间的 HTTPS 连接, 并强制它们使用“导出级”加密,然后可以对其进行解密或更改。发现网站支持 DH(E) 导出密码套件, 或使用小于 1024 位的 DH 素数或最大 1024 位的常用 DH 标准素数的非导出 DHE 密码套件时,会发出 此漏洞警报。 S
SSL Medium Strength Cipher Suites Supported (SWEET32) 漏洞修复
叱咤少帅的博客
02-01 6024
SSL Medium Strength Cipher Suites Supported (SWEET32) 漏洞修复
TLS版本及CipherSuites确认及设置
EDI电子数据交换 | 知行软件
12-02 7153
这些报错,有时是因为数据传输双方设置的TLS版本不一致导致,所以如果出现上述报错我们可在确认网络正常的情况下,排除是否是TLS的问题,一般交易伙伴双方确认下彼此使用的TLS版本和Cipher Suites,然后不支持的一方进行设置即可。如果确认是TLS版本和Cipher Suites不支持的问题,我们该如何查看知行之桥支持的TLS版本及TLS Cipher Suites,并进行修改或者设置呢?在这里可以删除不安全SSL Cipher Suite,添加安全SSL Cipher Suite,进行应用。
TLS检测
Phantasm的博客
07-01 1890
Thank Zhihao Tao for your hard work. The document spent countless nights and weekends, using his hard work to make it convenient for everyone. If you have any questions, please send a email to [email protected] 文章目录1. 概述2. 检测方式2.1 证书检测2.2 JA32.2.1 .
Sweet32: TLS 64位分组密码生日攻击(CVE-2016-2183)
weixin_39078334的博客
12-16 1万+
客户服务器被发现Sweet32,经过检查,都是受DES/3DES影响导致的,解决办法就是禁用了DES/3DES。 验证方式:nmap -sV --script ssl-enum-ciphers -p 443 test.com 以下是我从网络上找到的一些信息: 概述 分组密码在SSL/TLS协议中的特定配置会遭到碰撞攻击。 背景 传统64位块分组密码在使用CBC模式时很容易被碰撞攻击。SSL/TLS协议所有支持使用3DES对称加密的密码套件都受影响(例如 ECDHE-RSA-DES-CBC3-S...
修复RedHat 6.5上的SSL Medium Strength Cipher Suites Supported (SWEET32)漏洞
06-06
修复RedHat 6.5上的SSL Medium Strength Cipher Suites Supported (SWEET32)漏洞,您可以按照以下步骤进行: 1. 升级OpenSSL版本:升级到1.0.1t或更高版本。可以使用yum进行升级: ``` yum update openssl ``` 2. 禁用3DES Cipher Suite:在OpenSSL配置文件中禁用3DES Cipher Suite。可以将以下行添加到/etc/pki/tls/openssl.cnf文件中: ``` openssl_conf = openssl_init [openssl_init] ssl_conf = ssl_sect [ssl_sect] system_default = system_default_sect [system_default_sect] Options = !SSLv2 CipherString = DEFAULT:@SECLEVEL=1 CipherSuites = HIGH:!3DES:!MD5:!aNULL:!eNULL:!RSA:!DES:!RC4:!ADH:!LOW:!EXP:!DSS:!PSK:!SRP:!kRSA ``` 3. 重启服务:重启使用OpenSSL的服务,以确保配置的更改生效。 注意:在执行此操作之前,请备份您的系统和配置文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QYpiying

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值