SSL TLS 취약 알고리즘 없애기

OpenVAS를 통해 취약점을 점검하고 리포트를 확인했는데 보안 상태가 좋지 않았다. 그래서 세부 사항을 보았는데 한 서버에서 취약한 알고리즘을 사용했기 때문에 취약해진 걸로 확인되었다. 그래서 취약 알고리즘을 없앤 과정을 남겨놓기 위해 글을 쓴다.

OpenVAS에 나타난 SSL TLS 취약 알고리즘 사용 취약점

 

 

 

 

 

Microsoft 홈페이지를 찾아보니 레지스트리 중에 SCHANNEL의 Ciphers 아래 있는 레지스트리 키가 대칭 알고리즘 사용을 제어하는데 사용한다고 되어있다. 그렇다면 이 키를 수정하면 된다는 것 같다. 설명을 계속 읽어보면 이 부분에 설정값이 없다면 기본적으로 알고리즘을 사용으로 설정된다고 한다. 그리고 사용하지 않게 설정하면 사용이 안된다고 한다.

레지스트리 SCHANNEL의 Ciphers. 출처 : Microsoft

 

 

 

 

RC4 128/128 알고리즘을 차단하는 과정을 진행해보자.

레지스트리를 실행(실행에서 regedit 입력) 후 이미지의 붉은색 사각형의 경로로 이동한다.

그리고 우클릭 하여 키를 생성한다.

레지스트리 경로

 

 

 

 

 

 

키 폴더의 이름을 RC4 128/128로 생성한다.

이때 띄어쓰기 및 철자를 정확하게 입력해야 한다.

정확하게 입력했다면 우측 폴더에서 다시 우클릭, New 탭의 DWORD (32-bit) Value를 생성한다.

키 폴더 생성후 키값 생성

 

키의 이름을 Enable , 값 데이터를 0으로 설정한다.

또는 키의 이름을 DisabledByDefault , 값 데이터를 1로 설정한다. 

두개 중 하나만 등록하면 되며 , 두 개 모두 사용하지 않겠다는 의미이다. 

키 값 이름과 값 데이터 설정

 

 

 

 

 

 

이렇게 설정하고 다시 취약점 점검을 돌려 보면 해당 취약점이 사라진 것을 볼 수 있을 것이다. 그 외에도 취약점에 다른 취약 알고리즘이 나타난다면 추가로 차단 해야 한다. 지금 아래 이미지는 취약하다는 알고리즘을 차단하기 위해 키 폴더를 만들고 키 값 생성, 키 데이터 값을 설정한 상태이다. 

SSH TSL 키 값 생성

 

 

 

 

다시 돌려본 결과 취약점은 사라졌다. 그리고 또 다른 취약점이 나왔다. 갈길이 멀지만 차근차근 해결해 나가야겠다.

OpenVAS Scanning

 

 

 

 

그리고 취약점 알고리즘을 차단하는 방법을 확인하려면 아래 링크로 이동하여 확인하면 된다.

docs.microsoft.com/ko-kr/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel

암호화 알고리즘 및 프로토콜 제한 - Windows Server