Comment sécuriser votre serveur ISPConfig 3 contre l'attaque SSL poodle

Version 1.2
Auteur : Till Brehm
Suivez howtoforge sur Twitter
Publié   2014-10-16

Dans le guide suivant, je vais décrire les étapes pour sécuriser votre serveur contre la récente attaque SSL poodle. J’utiliserai un serveur parfait ISPConfig 3 sur Debian 7 pour mes exemples, mais les mêmes étapes fonctionneront également sur toute autre distribution Linux. Un serveur d’hébergement ISPConfig par défaut exécute les services suivants : Serveur Web (Nginx ou apache), Serveur de messagerie (Postfix et Dovecot / Courier), Serveur FTP (pure-ftpd) qui offrent des connexions SSL / TLS et sont des cibles potentielles pour une attaque poodle.

Je suppose que vous êtes connecté à votre serveur en tant qu’utilisateur root. Si vous travaillez sur Ubuntu et que vous n’êtes pas connecté en tant que root, ajoutez “sudo” à toutes les commandes ou exécutez “sudo -“ pour devenir utilisateur root.

Serveur Web Apache

Pour sécuriser un serveur web apache, la ligne

SSLProtocol all -SSLv2 -SSLv3

doit être ajoutée dans chaque vhost SSL sur le serveur. Si le paramètre SSLProtocol n’est pas explicitement défini dans un vhost, alors le paramètre global est appliqué. Dans le cas d’un serveur ISPConfig 3, le paramètre SSLProtocol peut être défini globalement car les vhosts ne remplacent pas ce paramètre. Sur un serveur Debian ou Ubuntu, ouvrez le fichier /etc/apache2/mods-available/ssl.conf dans un éditeur

nano /etc/apache2/mods-available/ssl.conf

faites défiler vers le bas jusqu’à ce que vous voyiez les lignes :

SSLProtocol all -SSLv2

et changez-les en :

SSLProtocol all -SSLv2 -SSLv3

Puis redémarrez apache

service apache2 restart

Serveur Web Nginx

Pour un serveur web nginx, la ligne

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

doit être ajoutée dans chaque section SSL server { }. Si le paramètre SSLProtocol n’est pas explicitement défini dans une section server { }, alors le paramètre global de la section http { } est appliqué. Dans le cas d’un serveur ISPConfig 3, le paramètre SSLProtocol peut être défini globalement dans la section http { } car les sections server { } ne remplacent pas ce paramètre. Sur un serveur Debian ou Ubuntu, ouvrez le fichier /etc/nginx/nginx.conf dans un éditeur

nano /etc/nginx/nginx.conf

et ajoutez la ligne :

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

après la ligne :

http {

puis redémarrez nginx :

service nginx restart

Serveur de messagerie Postfix

Pour forcer postfix à ne pas fournir les protocoles SSLv2 et SSLv3, exécutez ces commandes :

postconf -e ‘smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3’
postconf -e ‘smtpd_tls_protocols=!SSLv2,!SSLv3’
postconf -e ‘smtp_tls_protocols=!SSLv2,!SSLv3’

Cela ajoutera les lignes :

smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtp_tls_protocols = !SSLv2,!SSLv3

dans le fichier /etc/postfix/main.cf. Ensuite, exécutez cette commande pour appliquer la nouvelle configuration :

service postfix restart

Serveur Dovecot IMAP / POP3

Dovecot prend en charge les paramètres de protocole SSL dans la version 2.1 et supérieure. Donc, la première étape est de découvrir quelle version de dovecot vous utilisez. La commande est :

dovecot –version

sur mon serveur, j’ai obtenu le résultat suivant :

root@server1:~# dovecot –version
2.1.7
root@server1:~#

ce qui indique que mon serveur prend en charge les paramètres ssl_protocol.

Éditez le fichier de configuration de dovecot

nano /etc/dovecot/dovecot.conf

et ajoutez la ligne

ssl_protocols = !SSLv2 !SSLv3

juste après la ligne ssl_key, donc votre fichier devrait ressembler à ceci :

ssl_key = ssl_protocols = !SSLv2 !SSLv3

et enfin redémarrez dovecot pour appliquer les modifications :

service dovecot restart

Serveur Courier POP3 / IMAP

Le serveur imap et pop3 courier offre des connexions via le protocole SSLv3 par défaut, donc nous devons le reconfigurer également. Les fichiers de configuration courier se trouvent dans le dossier /etc/courier/. Commençons par le fichier de configuration du démon IMAP :

nano /etc/courier/imapd-ssl

Ajoutez ou remplacez les lignes suivantes :

IMAPDSTARTTLS=YES
IMAP_TLS_REQUIRED=1
TLS_PROTOCOL=TLS1
TLS_STARTTLS_PROTOCOL=TLS1

Ensuite, éditez le fichier de configuration du démon POP3 :

nano /etc/courier/pop3d-ssl

Ajoutez ou remplacez les lignes suivantes :

POP3STARTTLS=YES
POP3_TLS_REQUIRED=1
TLS_PROTOCOL=TLS1
TLS_STARTTLS_PROTOCOL=TLS1

Enfin, redémarrez les démons courier :

service courier-imap-ssl restart
service courier-pop-ssl restart

FTP avec pure-ftpd

Sécuriser pure-ftpd sur Debian et Ubuntu est un peu plus compliqué car le script /usr/sbin/pure-ftpd-wrapper de Debian ne prend pas en charge l’option -J qui est utilisée par pure-ftpd pour définir les protocoles ssl. Donc, la première étape est d’ajouter le support pour l’option -J dans le script wrapper. Cela ne fonctionnera pas sur Debian 6 car la version de pure-ftpd dans Debian 6 est trop ancienne et n’a pas de paramètre pour les protocoles SSL. Donc, la seule option pour les utilisateurs de Debian 6 sera de mettre à niveau vers Debian 7. Ouvrez le fichier

nano /usr/sbin/pure-ftpd-wrapper

et faites défiler jusqu’à la ligne

‘TLS’ => [‘-Y %d’, \&parse_number_1], et ajoutez cette nouvelle ligne juste après :

‘TLSCipherSuite’ => [‘-J %s’, \&parse_string],

Enfin, nous créons un fichier de configuration qui contient les protocoles SSL que nous voulons autoriser :

echo ‘HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3’ > /etc/pure-ftpd/conf/TLSCipherSuite

pour appliquer les modifications, redémarrez pure-ftpd. Sur mon serveur, j’utilise pure-ftpd avec mysql, donc le nom du démon est pure-ftpd-mysql au lieu de juste pure-ftpd.

service pure-ftpd-mysql restart

le résultat devrait être similaire à ceci :

root@server1:~# service pure-ftpd-mysql restart
Redémarrage du serveur ftp : Exécution : /usr/sbin/pure-ftpd-mysql-virtualchroot -l mysql:/etc/pure-ftpd/db/mysql.conf -l pam -Y 1 -8 UTF-8 -H -J HIGH:MEDIUM:+TLSv1:!SSLv2:!SSLv3 -D -b -O clf:/var/log/pure-ftpd/transfer.log -E -u 1000 -A -B
root@server1:~#

donc l’option -J a été ajoutée avec succès à la séquence de démarrage du démon.

Liens

• Attaque SSL poodle
• ISPConfig