.: Dee Personal Blog :.

Subtitle

Blog

Meminimalisir Celah Keamanan Poodle Vulnerability pada Centos 6

Posted by Root on January 5, 2015 at 11:00 AM


Apa kabar para pembaca setia blog ini? Mudah-mudahan selalu diberikan kesehatan dan rezeki yang melimpah ya. Hmmm... sudah lama nih Penulis tidak mengupdate konten Blog ini, ya maklumlah akhir-akhir ini Penulis banyak kegiatan. Saking sibuknya di dunia nyata, Penulis sempat tidak Aware dan Update terhadap perkembangan celah keamanan (Vulnerability). It's oke, kali ini Penulis akan mensharing sedikit tips meminimalisir celah keamanan Poodle Vulnerability. Sebelum beranjak lebih jauh, kenalan dulu yuk dengan Poodle Vulnerability

Setelah dunia maya sempat digemparkan dengan Bug Heartbleed, Bash Shellshock, kini hadir Bug lain yang dinamakan Poodle Vulnerability. Sebenarnya celah keamanan ini ditemukan oleh Peneliti Google, Bodo Moeller, Thai Duong dan Krzysztof Kotowicz. Poodle adalah singkatan dari Padding Oracle On Downgrade Legacy Encryption. Usut punya usut, Poodle ini menyerang SSL versi 3 melalui perantara Web Browser dan Web Server. Protocol SSL versi 3 ini sendiri dirilis tahun 1996 (19 tahun yang lalu) dan kemudian digantikan dengan Protocol TLS di tahun 1999, So? Wajar saja jika memiliki celah keamanan (Vulnerability/Bug). Ya walaupun sudah tua, masih banyak Server yang masih Support terhadap SSL versi 3 ini. Layanan TLS memberikan sebuah fungsi Downgrade Dance, maksudnya adalah awalnya pada saat Handshake, Server akan menawarkan Protokol Keamanan tertinggi, misalnya TLS. Tapi apabila Clientnya tidak Support terhadap Protokol versi tersebut, maka Server akan menawarkan Protokol dengan Keamanan yang lebih rendah.  

Nah, adapun jenis serangan yang dilakukan berupa MITM (serupa tak sama dengan Eksploitasi Heartbleed). Dengan serangan Man In The Middle Attack (MITM) alias nguping pada Cipher Block Chaining (CBC) artinya Peretas bisa mendapatkan informasi sensitif yang berlalu-lalang di layer SSL (transmisi terenkripsi), misalnya saja melalui https. Serupa tapi tak sama dengan Heartbleed, tentunya Poodle Vulnerability ini dapat mencuri Cookies atau HTTP Authorization Header Content

Adapun Bug ini tidak mempengaruhi Certificate SSL itu sendiri, bingung ya? Bagi yang belum pernah mengkonfigurasi SSL pada sebuah Web Server pasti akan kebingungan dengan apa yang akan di bahas pada tulisan ini. Intinya Bug ini merupakan dampak dari Protokol SSL itu sendiri, sempat beberapa Bulan yang lalu banyak yang mencabut Certificate SSL dikarenakan kesalahpahaman akan dampak dari Bug ini. Tentunya Pembaca tahu kan tentang Situs PayPal? PayPal sendiri telah mengumumkan akan memberhentikan dukungan terhadap Protokol SSL sejak tanggal 3 Desember 2014, PayPal pun menyarankan bagi Para Merchant yang menyediakan Sistem Pembayaran via PayPal untuk menonaktifkan SSL versi 3 sesegera mungkin (tentunya untuk menghindari pencurian informasi sensitif). 

Nah tips dari Penulis untuk Pembaca setia Blog ini untuk meminimalisir celah keamanan Poodle Vulnerability adalah : 
1. Hindari menggunakan WiFi Public (umum). 
2. Update Web Browser milik Pembaca ke versi yang lebih baru. 
3. Lindungi Web Server, dalam kasus ini Penulis menggunakan Web Server Apache yang berjalan pada Sistem Operasi Centos 6

Pertama edit dengan nano atau vim File ssl.conf, silahkan cari letak File ssl.conf. Kebetulan pada Centos 6 yang Penulis gunakan, File ssl.conf berada di /etc/httpd/conf.d/ssl.conf. Carilah bagian SSL Protocol Support, rubah dan buatlah sedemikian rupa :
SSLHonorCipherOrder On
SSLProtocol all -SSLv2 -SSLv3 -TLSV1

 

Kemudian di bawahnya terdapat SSL Cipher Suite, rubah dan buatlah sedemikian rupa : SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SSLv3:!SSLv2:!TLSv1. Agar lebih jelasnya silahkan perhatikan gambar di bawah ini dengan seksama : 


Setelah itu rubah juga File httpd-vhosts.conf, silahkan Pembaca cari letak File tersebut. Pada Centos 6 yang Penulis gunakan, File httpd-vhosts.conf tersebut berada di /etc/zpanel/configs/apache/httpd-vhosts.conf. Carilah bagian pengaturan Virtual Host yang mendefinisikan SSL (Port 443), nah pada bagian SSLEngine On, tambahkan di bawahnya SSLProtocol all -SSLv2 -SSLv3 -TLSV1. Agar lebih jelas perhatikan gambar di bawah ini : 



Nah setelah pengaturannya dirubah, silahkan Restart Service httpdnya. Jikalau pada Centos 6 yang penulis gunakan, Commandnya adalah service httpd restart. Setelah itu lakukan testing Handshake menggunakan perintah ini : openssl s_client -connect www.situshttpsanda.com:443 -ssl3. Jika hasilnya seperti di bawah ini, berarti yang anda lakukan sudah benar. 

Nah apabila Pembaca masih kurang yakin Server milik Pembaca telah aman dari Poodle, maka Pembaca bisa melakukan testing melalui Situs berikut www.poodlescan.com. Dan hasil yang Penulis dapatkan adalah sebagai berikut : 

 







Sekian, semoga berguna :)

Categories: Tutorials, Tips & Tricks

Post a Comment

Oops!

Oops, you forgot something.

Oops!

The words you entered did not match the given text. Please try again.

Already a member? Sign In

0 Comments