弱點掃描問題

ssl 弱點 443 macfee

Xelloz 2017-02-24 18:18:38 ‧ 19621 瀏覽

分享至

各位資訊先進你們好

小弟有一個系統近期要上線時

被資安部門提到說有一個弱掃要解決，才能上線

我後來自己找了一些方法，包括把SSLv3 , v2 相關機碼給disable, Tomcat的server.xml 強制走TLS相關設定 (重開機過)

後來還是掃到一樣的弱點 ......

希望有大神能賜教，或是給些觀念與方向

感激 ~~~

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

bizpro

iT邦大師 1 級 ‧ 2017-02-24 19:51:14

最佳解答

停用SSL各版本協定而只用TLS是必須要做的, 但不是這個問題.

真正的問題是您使用這個加密法(cipher):3DES, 這是毫無安全性可言的加密法.
至於在service.xml中的cipher設定要用什麼, 基本原則是:

不安全的絕對不用, 例如: 各種3DES, ADH, AECDH, MD5等.
高安全性的放在前面.
非必要不要使用不安全的客戶端, 如Windows XP及IE 10以下, 為了相容性使用這些客戶端, 必須被迫使用不安全的Cipher, 可能弱點掃描會不過, 因此必須取捨, 捨棄這些不安全的客戶端.

回應 2
分享
檢舉

Xelloz iT邦新手 5 級 ‧ 2017-02-24 23:30:26 檢舉

感謝大大的回覆

但是我的server.xml 裡面並沒有填加任何Cipher的值
它是怎麼判定我走這個加密法(cipher):3DES 呢

所以我是要自己強制指定

類似剛剛找到的方法
https://www.sslshopper.com/article-how-to-disable-weak-ciphers-and-ssl-2-in-tomcat.html

bizpro iT邦大師 1 級 ‧ 2017-02-25 11:51:11 檢舉

看來您並未設定cipher, 因此使用了tomcat內定值. 這些ciphers勉強可以用, 把256bits的放前, 把128bits的放後. 不必用384bits, 但要看您的Tomcat版本還有客戶端的支援, 還有效能考量, 畢竟在業務考量下, 不太會更新Tomcat的元件, 通常應該在Tomcat前用反向代理, 把非Tomcat專精的交給專業的反向代理.

登入發表回應