Poodle 退治をするならこれだ!SSLv3.0 脆弱性対策

▪️ 概要
中間者(MITM)攻撃を実行してセキュアHTTP cookieを復号し、被害者のオンラインアカウントの情報を盗んだり、アカウントを操作したり可能になる。

▪️ 対策
SSLv3.0を使わないようにする。

基本SSLv3.0を無効にしても問題は起きないが、
IE6はTLSv1.0をサポートしていないので問題がでる。


▪️ 参考サイト
http://kb.sp.parallels.com/en/123160
https://www.digitalocean.com/community/tutorials/how-to-protect-your-server-against-the-poodle-sslv3-vulnerability

※こちらの方がずっと詳しいです。ここに載せていない手順は下記サイトをご参考にしてください。
http://blog.livedoor.jp/k_urushima/archives/1752935.html

▪️Apache (WWW) の場合 443

# vi /etc/httpd/conf.d/ssl.conf

SSLProtocol All -SSLv2 -SSLv3

# /etc/init.d/httpd restart


▪️Parallel対策 8443

# vi /etc/sw-cp-server/config

...
http {
include mime.types;
...
include /etc/sw-cp-server/conf.d/*.conf;
#for Poodle
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}

$ sudo service sw-cp-server restart


▪️FTPサーバ 対策 (vsftpd) 21

# vi /etc/vsftpd/vsftpd.conf

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

# service vsftpd restart

▪️FTPサーバ 対策 (proftpd) 21

# vi /etc/proftpd.comf

TLSProtocol TLSv1


# /etc/init.d/proftpd restart // proftpdサービスの場合
# /etc/init.d/xinetd restart // xinetd経由で起動の場合

▪️STMPサーバ対策 (postfix) 465, 587

# vi /etc/postfix/main.cf
smtpd_tls_mandatory_protocols=!SSLv2, !SSLv3 //追記

# /etc/init.d/postfix restart

▪️Parallelsスクリプトでチェック

# wget http://kb.sp.parallels.com/Attachments/kcs-40007/poodle.zip
# upzip poodle.zip
# chmod +x poodle.sh
# for i in `echo 21 587 443 465 7081 8443 993 995 `; do /bin/sh /root/poodle.sh 192.168.x.x $i; done

bash-4.1# for i in `echo 21 587 443 465 7081 8443 993 995 `; do /bin/sh /root/poodle.sh 192.168.x.x $i; done
192.168.x.x:21 - Not vulnerable. Failed to establish SSLv3 connection.
192.168.x.x:587 - Not vulnerable. Failed to establish SSLv3 connection.
192.168.x.x:443 - Not vulnerable. Failed to establish SSLv3 connection.
192.168.x.x:465 - Not vulnerable. Failed to establish SSLv3 connection.
192.168.x.x:7081 - Not vulnerable. Failed to establish SSL connection.
192.168.x.x:8443 - Not vulnerable. Failed to establish SSLv3 connection.
192.168.x.x:993 - Not vulnerable. Failed to establish SSL connection.
192.168.x.x:995 - Not vulnerable. Failed to establish SSL connection.

# POP/IMAPは利用しないのでサービス停止で対応

こんな感じで対策しましたとさ。