Эта статья предоставит вам несколько советов по улучшению безопасности вашего веб-сервера Nginx.
Учитываются несколько критериев: безопасность системы, безопасность SSL / TLS и защита данных.
- В первой части мы увидим, как укрепить безопасность нашего сервера, чтобы ограничить утечку данных.
- Во второй части мы сосредоточимся на безопасности SSL / TLS для защиты связи между сервером и клиентом.
- Безопасность системы
- 1. Базовая настройка безопасности
- Тестирование
- 2. Strict Transport Security (HSTS)
- 3. Другие средства защиты
- 1. SSL и TLS протоколы шифрования
- Тестирование конфигурации
- 2. Алгоритмы шифрования
- 3. Атаки BEAST и RC4
- Тестирование конфигурации
- 4. Атака FREAK (Factoring RSA-EXPORT Keys)
- Тестирование конфигурации
- 5. Logjam атака
- 6. Heartbleed
- 7. CRIME атака
- Заключение
Безопасность системы
Чтобы проверить безопасность вашего веб-сервера, я советую вам скачать пакет nikto (или nikto_console):
nikto -h https://mywebserver.domainnet/ -ssl
1. Базовая настройка безопасности
Лучший способ защитить ваш веб-сервер — это предоставить атакующему минимум данных: номер версии Nginx, PHP, ОС и т. д.
Как правило, информация скрыта в заголовках HTTP.
# Only return Nginx in server header
server_tokens off;
Тестирование
# Отображение заголовка curl https://mywebserver.domain.net/ -ksv 2>&1 >/dev/null | grep Server
2. Strict Transport Security (HSTS)
Эта настройка позволяет объявлять HTTP-клиенту, что ваш веб-сервер разрешает HTTP.
Политика HSTS защищает пользователей от подслушивающих атак.
Атака «человек посередине» не может перехватить запрос, пока HSTS активен.
add_header Strict-Transport-Security "max-age=15552001; includeSubdomains; preload";
3. Другие средства защиты
#Сервер пропускает иноды через блокируемые ETag etag off; more_clear_headers 'ETag'; #Anti-clickjacking add_header X-Frame-Options "SAMEORIGIN";
1. SSL и TLS протоколы шифрования
Когда мы говорим о «SSL», это на самом деле SSL / TLS.
Следует знать, что SSL был отменен с 1999 года, а его последняя версия, SSLv3, датируется 1996 годом.
С тех пор TLS вступил в игру и были выпущены три версии: TLSv1.0, TLSv1.1 и TLSv1.2.
До октября 2014 года версии SSLv3 и TLS жили, так сказать, в полной гармонии.
Google утверждает, что с 14 октября 2014 года может расшифровывать сообщения, используя протокол SSLv3 через атаку POODLE.
В то время как 2/3 веб-серверов в Интернете принимают этот протокол и используют его, сообщество было в панике.
Следует признать, что эксплойт не прост, но если мы объединимся с атакой, которая снижает уровень криптографии (например, Logjam, см. Ниже), то это может повлиять на все версии TLS.
Лучший способ защиты — отключить SSLv3.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Тестирование конфигурации
echo -n | openssl s_client -connect mywebserver.domain.net:443 -ssl3
2. Алгоритмы шифрования
Алгоритмы шифрования делятся на 4 типа:
— Обмен ключами
— Аутентификация
— Блочное шифрование
— Аутентификация сообщений
Следует избегать некоторых алгоритмов (RC4, DH, 3DES, EXP и т. д.), а другим следует отдавать приоритет.
# Best ratio Security/Accessibility ssl_ciphers CDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:!DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:!DHE-RSA-AES256-SHA:AES128-GCM-SHA256:!AES256-GCM-SHA384:AES128-SHA256:!AES256-SHA256:AES128-SHA:!AES256-SHA:AES:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA; # Secure ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH; # Global ssl_ciphers EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SEED;
3. Атаки BEAST и RC4
Эта атака позволяет дешифровать части трафика дискретным способом, не имея возможности изменить его без идентификации.
Если во время обменов используется протокол шифрования TLSv1.0, возможна атака.
Существует два способа приблизиться к реализации контрмер: на стороне клиента или на стороне сервера.
Последние браузеры поддерживают все TLSv1.1 и TLSv1.2.
Таким образом, клиент должен только обновить свой браузер, чтобы быть защищенным от BEAST.
На стороне сервера можно радикально удалить TLSv1.0 из списка разрешенных протоколов, но это приведет к несовместимости многих клиентов, которые не поддерживают слишком недавние версии TLS из-за слишком старого оборудования.
Другой способ — разрешить только алгоритм объемного шифрования RC4.
Для максимальной совместимости можно отключить RC4, но разрешить TLSv1.0.
Это приведет к использованию AES254 в блочном шифре для тех, кто решит его использовать (тех, которые не поддерживают TLSv1.1 и TLSv1.2), но также сделает их уязвимыми для BEAST…
В заключение, атака BEAST менее серьезна, чем RC4.
Сделайте свой выбор сами.
# BEAST protection ## Remove TLSv1.0 ssl_protocols TLSv1.1 TLSv1.2; # BEAST protection, NO RC4 protection ## Allow TLSv1.0 and force RC4 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:EDH+aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:RC4:!SEED; # NO BEAST protection, RC4 protection ## Allow TLSv1.0 and remove RC4 from bulk ciphers ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:EDH+aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED;
Тестирование конфигурации
# Ваш сервер поддерживает TLSv1.1, а не RC4?
echo -n | openssl s_client -connect mywebserver.domain.net:443 -cipher DHE-RSA-CAMELLIA128-SHA -tls1_1 # Поддерживает ли ваш сервер TLSv1.0? echo -n | openssl s_client -connect mywebserver.domain.net:443 -tls1
4. Атака FREAK (Factoring RSA-EXPORT Keys)
Для защиты от этой атаки необходимо отключить ключи шифрования в библиотеке экспорта.
Та же конфигурация SSLCipherSuite, что и раньше, проверяя, что она содержит !EXP.
Тестирование конфигурации
echo -n | openssl s_client -connect mywebserver.domain.net:443 -cipher EXP-EDH-RSA-DES-CBC-SHA
5. Logjam атака
Эта атака позволяет снизить уровень криптографии по обмену TLS.
Для защиты от этого лучше разрешить только протоколы TLSv1.0, TLSv1.1 и TLSv1.2.
Кроме того, алгоритмы обмена ключами должны быть уже не обычным DH, а эллиптическими кривыми: EECDH или EDH.
Наконец, установите по умолчанию самый высокий уровень шифрования и создайте уникальную и мощную 4096-битную группу Диффи-Хеллмана.
openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096 openssl dh -in /etc/ssl/certs/dhparam.pem -text
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:EDH+aRSA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED; ssl_prefer_server_ciphers on; ssl_dhparam /etc/ssl/certs/dhparam.pem;
6. Heartbleed
Вы подвержены этому недостатку, если ваша версия openssl слишком старая.
В этом случае, если сервер использует версию 1.0.1 с любым патчем перед «g».
dpkg -l openssl
7. CRIME атака
Эта атака использует SSL-сжатие, поэтому просто отключите его.
gzip off;
Заключение
server { listen 443 default_server; root /var/www/web; # Only return Nginx in server header server_tokens off; ssl on; ssl_certificate /etc/nginx/ssl/server.pem; ssl_certificate_key /etc/nginx/ssl/server.key; # POODLE protection ## Remove SSLv3 and SSLv2 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Best ratio Security/Accessibility ssl_ciphers CDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:!DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:!DHE-RSA-AES256-SHA:AES128-GCM-SHA256:!AES256-GCM-SHA384:AES128-SHA256:!AES256-SHA256:AES128-SHA:!AES256-SHA:AES:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA; # LOGJAM protection ## All TLS accepted, EECDH/EDH key exchange ciphers, force cipher order and use of 4096-bits group DH ssl_prefer_server_ciphers on; ssl_dhparam /etc/ssl/certs/dhparam.pem; # BREACH protection ## Disable of SSL compression gzip off; # Security headers add_header Strict-Transport-Security "max-age=15552001; includeSubdomains; preload"; etag off; more_clear_headers 'ETag'; add_header X-Frame-Options "SAMEORIGIN"; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block"; add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://ssl.google-analytics.com https://assets.zendesk.com https://connect.facebook.net; img-src 'self' https://ssl.google-analytics.com https://s-static.ak.facebook.com https://assets.zendesk.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com https://assets.zendesk.com; font-src 'self' https://themes.googleusercontent.com; frame-src https://assets.zendesk.com https://www.facebook.com https://s-static.ak.facebook.com https://tautt.zendesk.com; object-src 'none'"; # Enable SSL session caching for improved performance # http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_session_cache ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m; # By default, the buffer size is 16k, which corresponds to minimal overhead when sending big responses. # To minimize Time To First Byte it may be beneficial to use smaller values ssl_buffer_size 8k; # OCSP Stapling ssl_stapling on; ssl_stapling_verify on;