วิธีการปิดช่องโหว่ Logjam,Freak,Poodle,Beast สำหรับ Windows Server 2003 R2

Post Views: 912

“จะทำอย่างไรทีดีกับช่องโหว่ SSL เยอะซะเหลือเกิน ปิดใช้แต่ TLS ก็ได้นิ นั่นสินะ”

  • อย่างที่ข้างบนกล่าวไว้ครับวิธีการปิดช่องโหว่นี้ทำง่าย ๆ แค่ปิด SSLv2 SSLv3 และปิด Cipher Suite ที่ไม่ปลอดภัยเพิ่มเติม
  • แต่สำหรับ Windows Server 2003 เนื่องจากไม่รองรับ Cipher Suite ที่ปลอดภัยบางตัว จึงต้องทำการรัน hotfix ก่อน โดยสามารถโหลดได้ที่นี่ (อย่าลืมเลือกให้ตรง platform x86 x64 นะครับ) 
    https://support.microsoft.com/en-us/kb/948963
  • ก่อนจะรัน hotfix ลองทดสอบ test ความปลอดภัย ที่ website https://ssltest.psu.ac.th/server ก็จะได้ดังรูปตัวอย่างนี้ (จะเห็นได้ว่า Grade ร้ายแรงมาก)

2015-11-11_053418

  • เมื่อโหลดไฟล์เรียบร้อยแล้วทำการแตก zip และ run ด้วยสิทธิ์ administrator ดังรูป

2015-11-11_0537382015-11-11_053830

  • หลังจากนั้นเลือก Finish และทำการ Restart เครื่อง
  • จากนั้นทำการโหลดโปรแกรมจาก web https://www.nartac.com ดังนี้ 
    https://www.nartac.com/Downloads/IISCrypto/IISCrypto.exe
  • จากนั้นรันโปรแกรมดังรูป

2015-11-11_054809 2015-11-11_054929

  • จากนั้นทำการ Reboot อีกครั้ง
  • ทำการทดสอบ test ความปลอดภัย ที่ website https://ssltest.psu.ac.th/server อีกครั้งก็ได้ดังรูป

2015-11-11_055801

  • จะเห็นได้ว่ายังได้ Grade F (จริง ๆ ถ้าเป็น Windows 2008 R2 ขึ้นไปจะได้ A เนื่องจากรองรับ TLS 1.2) เนื่องจากช่องโหว่ POODLE(TLS) ไม่สามารถแก้ได้ เพราะจะแก้ได้ต้องปิด TLS 1.0 ใช้ TLS 1.2 ขึ้นไป ซึ่งจะ Windows 2003 และ Windows 2008 (ไม่มี R2) รองรับได้แค่ TLS 1.0 จึงแนะนำให้รีบเปลี่ยน Windows Server OS เป็น Windows 2008 R2 ขึ้นไปเพื่อความปลอดภัย

2015-11-11_065251

  • จากรูปข้างบนซึ่งเป็น Windows 2003 เช่นกัน “สันนิษฐานว่า” อาจเพราะว่า เครื่องนี้ได้ Windows Update จึงทำให้ไม่มีช่องโหว่ ถ้า Update ถึงระดับนึง ทาง Microsoft น่าจะปิดช่องโหว่ POODLE (TLS) เรียบร้อยแล้ว
  • ต้องแยกกันนะครับระหว่างเปิด TLS 1.0 กับ มีช่องโหว่ เพราะมีอีกหลายปัจจัย เพราะ TLS เป็นแค่ Protocol แต่กระบวนการที่เหลือทั้งวิธีการเข้ารหัส วิธีการแลกเปลี่ยน Key เป็นปัจจัยหนี่งของช่องโหว่ รวมถึงช่องโหว่จากบริการในเครื่องที่ใช้ TLS 1.0 ในการรับส่งข้อมูล แต่ถ้าปิด Protocol ตั้งแต่ต้นก็จะมั่นใจได้มากกว่า เพราะไม่แน่ว่าอนาคตอาจมีช่องโหว่เกี่ยวกับ TLS 1.0 ออกมาอีก
  • แต่การปิด TLS 1.0 จะกระทบกับ Browser ค่อนข้างมาก โดยเฉพาะ window xp,vista
  • อ่านเพิ่มเติมได้ที่นี่ครับ 
    https://www.blognone.com/node/63653
https://en.wikipedia.org/wiki/Template:TLS/SSL_support_history_of_web_browsers
  • สามารถอ่านวิธีแก้ไขช่องโหว่เพิ่มเติมได้ที่นี่ครับ 
    http://sysadmin.psu.ac.th/2015/11/10/serversecuritypatch
Share the Post:

Related Posts

ทำความรู้จักกับ Outlook บนเว็บ

Post Views: 6 Outlook เป็นเครื่องมือจัดการอีเมลและปฏิทินที่ทรงพลัง ซึ่งช่วยให้คุณมีระเบียบและเพิ่มความสามารถในการทำงาน ด้วยอินเทอร์เฟซที่ใช้งานง่าย คุณสามารถจัดการกล่องขาเข้าของคุณ นัดหมาย และทำงานร่วมกับเพื่อนร่วมงานได้อย่างง่ายดาย ฟีเจอร์ที่แข็งแกร่งของ Outlook รวมถึงแม่แบบอีเมลที่ปรับแต่งได้ ความสามารถในการค้นหาขั้นสูง และการผสานรวมที่ไร้รอยต่อกับแอปพลิเคชัน Microsoft Office อื่นๆ ไม่ว่าคุณจะเป็นมืออาชีพที่ยุ่งอยู่หรือเป็นนักเรียนที่ต้องจัดการกับภารกิจหลายอย่าง Outlook

Read More

[บันทึกกันลืม] JupyterHub Authenticated with OIDC

Post Views: 36 ต่อจากตอนที่แล้ว [บันทึกกันลืม] JupyterHub ด้วย Docker คราวนี้ ถ้าต้องการให้ ยืนยันตัวตนด้วย OpenID เช่น PSU Passport เป็นต้น ก็ให้ทำดังนี้ ในไฟล์ jupyterhub_config.py ใส่

Read More