Windows Server

IIS İçin SSL v3 Protokolünü ve RC4 Chipers Kapatma

Bildiğimiz üzere SSLv3 ‘te olan bir açıktan dolayı SSLv3 desteğinin tüm IIS sunucularda kapatılması gerekmektedir. SSLv3 üzerinden Man In The Mıddle Attack yapılabilmektedir. Buda ciddi güvenlik açıklarına sebep verebilmektedir.

Peki, Nedir bu Man In The Mıddle Attack?

Man In The Mıddle Attack, Türkçe karşılığı olarak Ortadaki Adam Saldırısı veya Aradaki Adam Saldırısı, bir ağ içerisinde hedef ile ağ unsurları (sunucu, switch, router ya da modem) arasında geçen trafiği dinlemek, değiştirmek olarak tanımlanan saldırı türüdür.

Bu açık türünden etkilenmemek için yapmamız gereken SSL v3 desteğini kapatmak.

Registry açıyoruz.

Başlat > Çalıştır >  regedit

Aşağıda ki dizine gidiyoruz;

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\

clip_image002

Protocols sağ tıklayıp New > Key diyoruz.

clip_image004

Yeni Key’e SSL 3.0 ismini veriyoruz.

SSL 3.0 sağ tıklayıp tekrardan New > Key diyoruz.

clip_image006

Oluşturduğumuz key’in adını Client olarak değiştiriyoruz.

SSL 3.0 altında tekrardan New > Key diyoruz.

clip_image008

Oluşturduğumuz keyin adını Server olarak değiştiriyoruz.

Client sağ tıklayıp New > DWORD (32-bit) Value diyoruz ve bir dword kaydı oluşturuyoruz.

clip_image010

Oluşturduğumuz Dword kaydının adını DisabledByDefault olarak değiştiriyoruz.

clip_image012

DisabledByDefault kaydının Decimal değerini 1 yapıyoruz.

Bu işlemi yaptıktan sonra Server sağ tıklayarak New > DWORD (32-bit) Value kaydı ekliyoruz.

clip_image014

Eklediğimiz DWORD (32-bit) Value kaydını editleyip ismini Enabled olarak değiştiriyoruz.

clip_image016

Enabled kaydının Decimal değerinin 0 olduğundan emin oluyoruz.

Bu işlemleri yaptıktan sonra sistemi restart ederek işlemi tamamlıyoruz. Artık SSL v3 desteği sunucumuzda kapalı.

RC4 desteğini kapatmak için ;

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

Dizinine gidiyoruz.

Chiphers sağ tıklayarak New > Key diyoruz ve yeni eklediğimiz Key’in adını RC4 128/128 olarak değiştiriyoruz.

RC4 128/128 sağ tıklayıp New > DWORD (32-bit) Value diyoruz ve eklediğimiz kaydın adını Enabled olarak değiştirip Decimal değerinin 0 olduğundan emin oluyoruz.

Aynı işlemi ;

RC4 40/128
RC4 56/128

Key’leri içinde yapıyoruz, yukarıdaki keyleri oluşturup Enabled Dword ekleyip Decimal değerini 0 yapıyoruz.

Bilgisayarı restart ederek işlemimizi tamamlıyoruz.

Bu işlemleri sslv3.reg isimli bir dosya oluşturup  ;

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
“DisabledByDefault”=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
“Enabled”=dword:00000000

Yukarıda ki kodları bu dosyanın içerisine kayıt ettikten sonra bu dosyayı çalıştırarak kolay bir biçimde gerçekleştir edebilirsiniz. Tabi bu işlemi yaptıktan sonrada sunucunuzu restart etmeniz gerekmektedir.

Başka bir makalede görüşmek üzere…

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu