Desactivando SSLv2 y SSLv3 en Linux

Tiempo de resolución: Menos de 3 minutos.

Desde hace varias semanas estamos enviando avisos de servidores SSL con necesidad de ser actualizados. Es un problema común, conocido como “POODLE” que podemos resumir a que no se debe utilizar ninguna versión menor o igual a SSLv3.

Esto depende de cada Sistema Operativo, pero es muy simple en todos los casos y nos evita que lleguen estos avisos de seguridad.

Primer paso: deshabilitando SSL donde no le necesitemos.

Hasta el momento muchos de los administradores que han arreglado el problema lo han hecho:

  1. apagando el servidor que contiene esta versión de SSL con problemas. Esto es: es un servidor que no tiene necesidad de estar expuesto, que ya no usaban o no necesitaban.
  2. Apagando el servicio de SSL: Esto se puede realizar cuando no se requiere del servicio de SSL, se elimina el módulo o servicio de SSL del servidor y ya deja de seguirse reportando.
  3. Bloqueando el acceso a este servidor desde internet: Al menos en un caso, el administrador simplemente determinó que era un equipo que no debía tener publicado en internet y le bloqueó el acceso a él desde internet.

Son soluciones válidas, sobre todo las dos primeras; y que normalmente se deben valorar. Si no uso un equipo o servicio, por seguridad debo eliminarlo.

Segundo paso: actualizando el sistema

En este caso actualizar no soluciona el problema de poodle directamente, pero nunca nunca está de más que actualicemos nuestro sistema. Hay vulnerabilidades relacionadas con el OpenSSL que han surgido en los últimos tiempos por lo que sugerimos encarecidamente que se actualicen los sistemas regularmente.

Tercer paso: Mitigando el problema

Los reportes que llegan son prácticamente todos de sistemas Linux, y la solución consiste en editar el archivo de configuración de SSL para el servidor web (apache normalmente) y deshabilitar la opción SSLv2 y SSLv3 en el parámetro SSLProtocol.

Hay muchas variantes de solución, pero hace tiempo RedHat publicó la solución de forma muy simple como podemos observar aquí.

Esto es válido para cualquier sistema Linux, no solamente RedHat o CentOS. Se busca el parámetro SSLProtocol dentro de la configuración de SSL y se reconfigura.

En el caso de CentOS/RedHat se realiza asi:

  1. Editamos /etc/httpd/conf.d/ssl.conf
  2. Buscamos el parámetro SSLProtocol y le cambiamos a:
    1. SSLProtocol All -SSLv2 -SSLv3
  3. Reiniciamos el servidor web:
    1. service httpd restart

Con esto hemos resuelto un gran problema que sobre todo puede afectar a nuestros sistemas académicos o de educación virtual ya que a través de esta vulnerabilidad se pueden acceder a datos (incluso contraseñas) de las aplicaciones que estén corriendo sobre estos sistemas vulnerables.

Verificando el éxito de nuestros cambios:

En realidad estos cambios no deben y no van a afectar el cómo nuestro sistema funciona. Al contrario es una mejora necesaria.

Cómo podemos ver que ya no somos más objetos de esta vulnerabilidad?

Hay varios sitios, no tenemos preferencia por uno en específico, incluso pueden haber sitios que les muestren más vulnerabilidades que pueden verificar:

  1. https://poodlebleed.com/
  2. https://www.poodlescan.com/
  3. https://www.tinfoilsecurity.com/poodle
  4. https://pentest-tools.com/vulnerability-scanning/ssl-poodle-scanner
  5. https://www.site24x7.com/tools/check-ssl3-vulnerability.html

Si todo está correcto, al siguiente día de corregida esta vulnerabilidad, les llegará el último aviso de ella.