Proteja o JBoss 7 Against Beast attack usando a configuração SSL

1

O uso de SSLv3.0 / TLSv1.0 em combinação com certas técnicas de criptografia (bloco CBC cifras) pode permitir que um atacante preveja o chamado Vetor de Inicialização de SSL subseqüentes pacotes. Usando essas informações, o invasor pode acessar a sessão segura de outro usuário. este O ataque, denominado BEAST (Navegação Exploit Against SSL / TLS), é direcionado ao navegador do usuário e não no servidor web. No entanto, é possível tomar contramedidas no lado do servidor, bem para evitar um ataque bem sucedido.

A solução completa para este problema é desabilitar ou despriorizar o suporte para cifras de criptografia vulneráveis (cifras de bloco CBC) ao usar SSLv3.0 / TLSv1.0. Comumente, isso pode ser alcançado priorizando as cifras RC4 no processo de negociação de cifras.

Para servidores da web Apache que suportam SSLv3.0 / TLSv1.0, isso pode ser configurado adicionando-se configuração seguinte:

SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite RC4-SHA:HIGH:!ADH

Para servidores da web Apache que suportam SSLv3.1 / TLSv1.1 e superior, é recomendável usar o configuração seguinte:

SSLProtocol All –SSlv2
SSLHonorCipherOrder On  
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM

Até onde eu sei, o JBoss 7 é baseado em uma versão do Apache que suporta SSLv3.1 / TLSv1.1 (talvez eu esteja errado), então a segunda alternativa pode ser aplicada ao JBoss 7.

Minha pergunta é: Onde / como devo configurá-lo?

    
por Tony 12.09.2012 / 14:16

1 resposta

2

Não tenho certeza se isso poderia ser aplicado diretamente ao JBOSS, a menos que você queira fazer o front end do Apache como um servidor web para o JBOSS. Por favor, olhe a seguinte solicitação de recurso para resolver esse problema e ainda não foi endereçada, pois o problema ainda está em aberto. link .

    
por 07.11.2012 / 00:24

Tags