How to Disable Weak Cipher (3DES) – SWEET32 in IIS

ขั้นตอน (Steps)

  1. สามารถติดตั้ง Web Server ได้จากบทความ
  2. สามารถตรวจสอบได้ว่า มี Weak Cipher คือใช้ DES3 ได้จาก
    • Nessus
    • testSSL (3DES ตามชื่อ RFC)
  3. พบ Cipher ตัวเป็น 3DES และมีขนาด 168 Bits ดังนี้
      DES-CBC3-SHA                 Kx=RSA         Au=RSA      Enc=3DES-CBC(168)        Mac=SHA1   
    
  4. และใช้โปรแกรม SSLscan ใน Kali เพื่อตรวจสอบ Cipher ทั้งหมด

 


วิธี Manual

  1. คลิก  StartRun, พิมพ์ regedit, และคลิก OK
  2. ให้ไปที่
    HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Ciphers
    
  3. จากตัวอย่างถ้าเราไม่พบชื่อ Cipher ใด ๆ แต่มีช่องโหว่ดังกล่าวแสดงว่าเป็น Cipher default ที่ตั้งเอาไว้แต่เริ่มต้นให้สร้าง โฟลเดอร์ 3DES กับ Bits 168 ดังภาพ
  4. เข้าไปใน Folder ที่เราสร้างขึ้นมาใหม่. จากนั้นคลิก Edit แล้วเลือก New  และคลิก  DWORD (32-bit) Value.
  5. พิมพ์ Enabled แล้ว Enter
  6. ตรวจสอบให้แน่ใจว่า ในคอลัมภ์ Data มีค่าเป็น (โดยปกติเป็นค่า Default ถ้าไม่ใช่ให้เลือก Modify แล้วเปลี่ยนเป็น 0)
    0x00000000 (0)
    

     

  7. Restart. เครื่องและทดสอบ Scan อีกครั้งจะพบว่า Cipher 3DES หายไปดังนี้
    • sslscan
    • testssl

อ้างอิง (References)

Posted in Configurations and tagged , , , , , , , , , .

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องที่ต้องการถูกทำเครื่องหมาย *

Solve : *
10 + 20 =