OpenVas修復暗号スイート
OpenVasのような脆弱性スキャンソフトウェアを実行するのは初めてです。これは、ネットワークの脆弱性を見つけるのに非常に優れたツールです。脆弱な暗号スイートとプロトコルに関連する脆弱性のトラブルシューティングが困難であることがわかりました。たとえば、OpenVasは次のように報告します。
2.6.2 Medium 48004/tcp
Medium (CVSS: 4.3)
NVT: SSL/TLS: SSLv3 Protocol CBC Cipher Suites Information Disclosure Vulnerability (POODLE)
Summary
This Host is prone to an information disclosure vulnerability.
ただし、Qualys SSL Labsのオンラインテストで同じサーバーをスキャンすると、次のようになります。
Protocols
TLS 1.3 No
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No
For TLS 1.3 tests, we currently support draft version 18.
このマシンでIISCryptoを使用して、古いプロトコルと暗号スイートを無効にしたことを覚えています。
サーバーは一部のポートで暗号スイートを有効/無効にできますか?私のWindowsサーバーでは、ポート48004でSSL3を有効にできますが、ポート443では無効にできますか?
ありがとう
サーバーは一部のポートで暗号スイートを有効/無効にできますか?私のWindowsサーバーでは、ポート48004でSSL3を有効にできますが、ポート443では無効にできますか?
はい。特定のポートにバインドされている実際のアプリケーションは、異なる場合や、構成が異なる場合があります。たとえば、443でApacheを実行し、ポート8000でnginxを実行できます。48004でWebサービスを持つ他のアプリまたはDBを実行している可能性があります nimbusdb =。
実際に実行されているアプリを確認し、実際に使用されているWebサーバーアプリケーションと、適切に構成する方法を確認します。
@StackzOfZtuffがコメントで述べたように、Qualysは443のみをスキャンしており、他のポートはスキャンしていないため、ポート48004については何も通知されません。