Descripción: El servicio remoto acepta conexiones cifradas utilizando SSL 2.0 y / o SSL 3.0. Estas versiones de SSL se ven afectadas por varios defectos criptográficos. Un atacante puede explotar estas fallas para realizar ataques como hombre en el medio o para capturar las comunicaciones y romper el cifrado entre el servicio afectado y los clientes. NIST ha determinado que SSL 3.0 ya no es aceptable para comunicaciones seguras. A partir de la fecha de ejecución encontrada en PCI DSS v3.1, cualquier versión de SSL no cumplirá con la definición de “criptografía fuerte” del PCI SSC.

CVE: N/A
Factor de Riesgo: Medio
Valor CVSS Base: 5

Solución:
Se debe deshabilitar SSL 2.0 y 3.0 y utilizar TLS 1.2.

SISTEMA OPERATIVO LINUX

 

Ingresar al siguiente ruta segun el sistema operativo al que corresponda y editar el archivo ssl.conf

Debian – /etc/apache2/mods-available/ssl.conf
Redhat – /etc/httpd/conf.d/ssl.conf

 

Buscar la siguiente línea:
# enable only secure protocols: SSLv3 and TLSv1, but not SSLv2
Editar y digitar lo siguiente -SSLv2 -SSLv3, el resultado debe ser:
# enable only secure protocols: SSLv3 and TLSv1, but not SSLv2
SSLProtocol all -SSLv2 -SSLv3

Reiniciar el servicio de apache/etc/init.d/apache2 restart

SISTEMA OPERATIVO WINDOWS

Ingresar al siguiente link: https://www.nartac.com/Products/IISCrypto/ seleccionar el botón download y descargar la versión IIS Crypto GUIInstalar IIS Crypto, una vez instalada ingresar a la aplicación la cual permite de una manera ágil y sencilla modificar los protocolos, suites de cifrado y hashes que se requieren en la maquina, una vez iniciada la aplicación seleccionar las siguientes opciones.

Una vez finalizados los ajustes seleccionar el botón “Apply”, al finalizar se recomendara un reinicio del dispositivo para que los cambios hagan efecto.

 

NginX Web Server

Agregar o modificar la siguiente línea en el fichero de configuración:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Forzar el uso de algoritmos seguros y el orden de preferencia (ejemplo):

ssl_prefer_server_ciphers on;
ssl_ciphers ECDH+aRSA+AES256:ECDH+aRSA+AES128:AES256-SHA;

Se recomienda agregar la siguiente línea en el archivo de configuración para evitar la exportación de las suites de cifrado disponibles y minimizar el efecto de ataques como FREAK:

ssl_ciphers '!EXPORT';

Al finalizar estos cambios, ejecutar el siguiente comando para que el servidor aplique la nueva configuración:

 sudo nginx -t && sudo service nginx restart

Postfix Mail Server

Agregar o modificar las siguientes líneas en el fichero de configuración:

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3
smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3

Forzar el uso de algoritmos seguros y el orden de preferencia (ejemplo):

smtpd_tls_mandatory_ciphers = high
tls_high_cipherlist = ECDH+aRSA+AES256:ECDH+aRSA+AES128:AES256-SHA

Al finalizar estos cambios, ejecutar el siguiente comando para que el servidor aplique la nueva configuración:

sudo service postfix restart

Courier-imap Mail Server

Agregar o modificar las siguientes líneas en el fichero de configuración:

IMAPDSSLSTART=NO
MAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
TLS_PROTOCOL=TLS1
LS_STARTTLS_PROTOCOL=TLS1

Al finalizar estos cambios, ejecutar el siguiente comando para que el servidor aplique la nueva configuración:

sudo service courier-imap restart

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like