TLS 지원 버전 및 ssl ciphers 셋팅 확인 방법
2020. 12. 18. 16:53
ISMS 심사에서 취약한 ssl ciphers 설정 및 tls1, 1.1 을 지원한다는 결함 내역이 나왔다.
1. TLS 설정의 경우 1 버전과 1.1 버전을 사용하여 결함이 발견 됨.
아래와 같은 방법으로 해당 사이트의 지원하는 tls 버전을 확인할 수 있고
확인해 보면 naver 나 여타 사이트도 tls 1과 1.1 을 지원하고 있어서 결함으로 나올 만한 사항은 아니지 않나 싶다.
openssl s_client -connect <도메인>:443 -tls1_2
openssl s_client -connect <도메인>:443 -tls1_1
openssl s_client -connect <도메인>:443 -tls1
2. ssl ciphers 에서 취약한 설정은 nginx 설정에는 아래 취약점으로 나올만 한 설정이 없는데, 발견이 되었고
# 취약한 ssl ciphers 지원으로 발견된 항목
- TLS_RSA_WITH_NULL_SHA256
- TLS_DH_anon_WITH_AES_128_CBC_SHA256
- TLS_DH_anon_WITH_AES_128_GCM_SHA256
- TLS_DH_anon_WITH_AES_256_CBC_SHA
- TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA
- TLS_DH_anon_WITH_AES_256_CBC_SHA256
- TLS_DH_anon_WITH_AES_256_GCM_SHA384
그래서 찾아보니, 다음과 같이 직접 확인이 가능하여 시도를 해보았다.
nmap -p 443 --script ssl-enum-ciphers <서버 IP>
# 내부망에서 호출 시, 다음과 같이 위에서 언급한 취약한 항목은 발견되지 않았다.
Starting Nmap 6.40 ( http://nmap.org ) at 2020-12-18 12:12 KST
Nmap scan report for 10.200.4.203
Host is up (0.0013s latency).
PORT STATE SERVICE
443/tcp open https
ssl-enum-ciphers:
SSLv3: No supported ciphers found
TLSv1.0:
ciphers:
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
TLS_RSA_WITH_AES_128_CBC_SHA - strong
TLS_RSA_WITH_AES_256_CBC_SHA - strong
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
compressors:
NULL
TLSv1.1:
ciphers:
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
TLS_RSA_WITH_AES_128_CBC_SHA - strong
TLS_RSA_WITH_AES_256_CBC_SHA - strong
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
compressors:
NULL
TLSv1.2:
ciphers:
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - strong
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - strong
TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - strong
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - strong
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
TLS_RSA_WITH_AES_128_CBC_SHA - strong
TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
TLS_RSA_WITH_AES_256_CBC_SHA - strong
TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
compressors:
NULL
_ least strength: strong
# 외부망(개인 aws)에서 호출 시, 다음과 같이 취약한 항목이 발견되었다.
Starting Nmap 6.40 ( http://nmap.org ) at 2020-12-18 01:12 UTC
Nmap scan report for xxx (xxx.xxx.xxx.xxx)
Host is up (0.0083s latency).
PORT STATE SERVICE
443/tcp open https
ssl-enum-ciphers:
SSLv3: No supported ciphers found
TLSv1.0:
ciphers:
TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
TLS_DH_anon_WITH_AES_256_CBC_SHA - broken
TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA - broken
TLS_RSA_WITH_AES_256_CBC_SHA - strong
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
compressors:
NULL
TLSv1.1:
ciphers:
TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
TLS_DH_anon_WITH_AES_256_CBC_SHA - broken
TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA - broken
TLS_RSA_WITH_AES_256_CBC_SHA - strong
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
compressors:
NULL
TLSv1.2:
ciphers:
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - strong
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - strong
TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - strong
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - strong
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
TLS_DH_anon_WITH_AES_128_CBC_SHA256 - broken
TLS_DH_anon_WITH_AES_128_GCM_SHA256 - broken
TLS_DH_anon_WITH_AES_256_CBC_SHA - broken
TLS_DH_anon_WITH_AES_256_CBC_SHA256 - broken
TLS_DH_anon_WITH_AES_256_GCM_SHA384 - broken
TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA - broken
TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
TLS_RSA_WITH_AES_256_CBC_SHA - strong
TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
TLS_RSA_WITH_NULL_SHA256 - broken
compressors:
NULL
_ least strength: broken
혹시나하여 웹서버 모두 real ip 로 체크하였으나, 모두 정상이었다(?)
이로인해 결함으로 발견된 것 같은데, 아무래도 WAF 의 설정을 받는 것으로 보인다.
결국 서버 결함은 0인 걸로...
확인 해보니 waf 에 ssl cipher 셋팅을 설정하는 부분이 있었고
보안팀에서 waf 에서 적용하고, 다시 외부망에서 점검해 보니
취약한 설정이 사라진 것을 확인 하였다.
이 글을 공유합시다
