Форум проекта Pro-LDAP.ru

Общие вопросы по LDAP => Общий раздел => Тема начата: vortex от 20 Октябрь 2014, 09:19:08

Название: Проблема с null ssl ciphers
Отправлено: vortex от 20 Октябрь 2014, 09:19:08

Помогите разобраться, пожалуйста. Недавно передали linux систему с поднятым на ней stunnel.
Безопасники просканировали сервер и сказали что есть какая-то проблема. В отчете скана написано следующее:

Here is the list of null SSL ciphers supported by the remote server:

Null Ciphers (no encryption)

TLSv1
RSA-NULL-SHA256           Kx=RSA             Au=RSA           Enc=None          Mac=SHA256

вопрос заключается в следующем: как отключить этот Null cipher? Можно ли вообще у него отключить этот TLS?
Если да, то какие команды должны использоваться?

Название: Re: Проблема с null ssl ciphers
Отправлено: egor от 21 Октябрь 2014, 03:36:56

Здравствуйте!
Посмотрите какие не-NULL шифры у Вас есть в системе:

Код: [Выделить]

openssl ciphers -v ALL:\!NULL
и перечислите их (можно не все, а те, которые нравятся) в директиве ciphers файла stunnel.conf. Можно попробовать вписать:

Код: [Выделить]

ciphers = ALL:!NULL
но не знаю, прокатит или нет -- проверить негде.

Егор

Название: Re: Проблема с null ssl ciphers
Отправлено: vortex от 21 Октябрь 2014, 06:33:37

шифров много. Это только начальные несколько строчек.
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA384
ECDHE-RSA-AES256-SHA    SSLv3 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA1
ECDHE-ECDSA-AES256-SHA  SSLv3 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA1
SRP-DSS-AES-256-CBC-SHA SSLv3 Kx=SRP      Au=DSS  Enc=AES(256)  Mac=SHA1

Мне правда кажется что проблема не в stunnel, а в самом openssl
В конфигурационном файле stunnel в Ciphers не было записи "!NULL", но там достаточно конкретно описано какие шифры использовать.

В самом openssl их как-нибудь отключить можно?
вот, строчка, которая указана в документе сканирования: если набрать команду openssl ciphers -v 'ALL:eNULL', выводит несколько шифров с опцией Enc=None, в том числе и вот эта:
NULL-SHA256             TLSv1.2 Kx=RSA      Au=RSA  Enc=None      Mac=SHA256
Спасибо за помощь.

Название: Re: Проблема с null ssl ciphers
Отправлено: egor от 21 Октябрь 2014, 07:59:24

Здравствуйте! Судя по всему, шифры включаются/отключаются на этапе сборки библиотек, поэтому использование/неиспользование тех или иных шифров в приложении перекладывается на само приложение.

Егор