Desactivando SSLv2 y SSLv3 en Windows Server

Tiempo de resolución: Menos de 10 minutos.

Desde hace varias semanas estamos enviando avisos de servidores SSL con necesidad de ser actualizados. Es un problema común, conocido como “POODLE” que podemos resumir a que no se debe utilizar ninguna versión menor o igual a SSLv3.

Esto depende de cada Sistema Operativo, pero es muy simple en todos los casos y nos evita que lleguen estos avisos de seguridad.

Primer paso: deshabilitando SSL donde no le necesitemos.

Hasta el momento muchos de los administradores que han arreglado el problema lo han hecho:

  1. apagando el servidor que contiene esta versión de SSL con problemas. Esto es: es un servidor que no tiene necesidad de estar expuesto, que ya no usaban o no necesitaban.
  2. Apagando el servicio de SSL: Esto se puede realizar cuando no se requiere del servicio de SSL, se elimina el módulo o servicio de SSL del servidor y ya deja de seguirse reportando.
  3. Bloqueando el acceso a este servidor desde internet: Al menos en un caso, el administrador simplemente determinó que era un equipo que no debía tener publicado en internet y le bloqueó el acceso a él desde internet.

Son soluciones válidas, sobre todo las dos primeras; y que normalmente se deben valorar. Si no uso un equipo o servicio, por seguridad debo eliminarlo.

Segundo paso: actualizando el sistema

En este caso actualizar no soluciona el problema de Poodle directamente, pero nunca nunca está de más que actualicemos nuestro sistema. Hay vulnerabilidades relacionadas con el OpenSSL que han surgido en los últimos tiempos por lo que sugerimos encarecidamente que se actualicen los sistemas regularmente.

Tercer paso: Mitigando el problema

En el caso de Windows, existen al menos des formas alternativas de lograrlo, recomendamos aplicarlos en este orden, es decir si no se logra con la primera opción, intentar la segunda:

  1. Seguir éstas instrucciones para modificar el Registro del Sistema
  2. Ejecutar un programa que realiza las ediciones en los registros. Este programa puede ser bajado de aquí.

En ambos casos es necesario reiniciar el equipo para que los cambios surtan efecto.

Con esto hemos resuelto un gran problema, que sobre todo puede afectar a nuestros sistemas académicos o de educación virtual, ya que a través de esta vulnerabilidad se pueden acceder a datos (incluso contraseñas) de las aplicaciones que estén corriendo sobre estos sistemas vulnerables.

En realidad estos cambios no deben y no van a afectar el cómo nuestro sistema funciona. Al contrario es una mejora necesaria.

¿Cómo podemos ver que ya no somos más objeto de esta vulnerabilidad?

Hay varios sitios, no tenemos preferencia por uno en específico, incluso pueden haber sitios que les muestren más vulnerabilidades que pueden verificar:

  1. https://poodlebleed.com/
  2. https://www.poodlescan.com/
  3. https://www.tinfoilsecurity.com/poodle
  4. https://pentest-tools.com/vulnerability-scanning/ssl-poodle-scanner
  5. https://www.site24x7.com/tools/check-ssl3-vulnerability.html

Si todo está correcto, al siguiente día de corregida esta vulnerabilidad, les llegará el último aviso de ella.