Proteger servidor contra la vulnerabilidad POODLE SSLv3
Para los que no estéis al tanto de las noticias de seguridad informática, os diré que el 14 de Octubre un equipo de investigadores de Google descubrió una nueva vulnerabilidad crítica en el protocolo SSLv3. A esta vulnerabilidad la han llamado POODLE (Padding Oracle On Downgraded Legacy Encryption) y para explicarlo de forma sencilla, permite a un usuario malintencionado hacer ataques Man-in-the-middle y obtener acceso a datos sensibles como cookies, contraseñas, etc.
El protocolo SSLv3 apareció en el año 1996, pero tanto servidores como navegadores siguen manteniendo la compatibilidad con este protocolo. Creo que la aparición de este problema de seguridad pondrá fin de una vez a este protocolo obsoleto, pero aun así voy a mostraros unos pasos sencillos para proteger vuestro servidor contra esta vulnerabilidad.
Proteger servidor contra la vulnerabilidad POODLE SSLv3
En teoría cualquier aplicación o software que de soporte al protocolo SSLv3 es vulnerable, por lo que no puedo poner instrucciones para todos los servidores pero si mostraré como proteger Apache de POODLE.
Como proteger Apache contra POODLE.
Lo que vamos a hacer es desactivar el protocolo SSLv3 en Apache. Recordemos que la funcionalidad SSL en Apache nos la proporciona el módulo mod_ssl
.
Estas instrucciones y localizaciones de archivos son válidas para servidores Apache funcionando bajo Ubuntu 14.04 x64 y CentOS. Lo que haremos básicamente será editar el archivo de configuración de mod_ssl
para desactivar el protocolo vulnerable.
En Ubuntu:
sudo nano /etc/apache2/mods-available/ssl.conf
Buscamos la directiva SSLProtocol
y si no existe pues la creamos pegando lo siguiente (si existe la dejamos con estos valores):
SSLProtocol all -SSLv3 -SSLv2
Reiniciamos Apache para que tengan efecto los cambios:
sudo service apache2 restart
En CentOS:
sudo nano /etc/httpd/conf.d/ssl.conf
Vemos si existe la directiva SSLProtocol
en el archivo de configuración y si no existe pegamos:
SSLProtocol all -SSLv3 -SSLv2
Por último sólo nos queda reiniciar Apache:
sudo service httpd restart
Son unos pasos sencillos que deberíamos seguir para así mantener nuestros servidores seguros. En cuanto a los navegadores, FireFox y Chrome ya se han pronunciado y su intención es que en la siguiente versión ya no den soporte a este protocolo.