บทนำ (Overviews)
ขั้นตอนการปิด Weak cipher บน Protocol ของ MS SQL server
อย่างไรก็ตามการปิดช่องโหว่อาจมีผลกระทบต่อ Application ควรทดสอบใน Test Envinronment ก่อนขึ้น Production
ขั้นตอน (Steps)
Cipher
RC4
- เมื่อติดตั้ง MSSQL server โดย Default (ทดสอบบน Windows 2008 r2 และ MS sql server 2008 r2) จะพบช่องโหว่ RC4 ตามผล Scan Nessus ดังนี้
- สามารถติดตามวิธีการปิด Weak Cipher (RC4) บน IIS How to Disable Weak Cipher (RC4) in IIS
- หรือสามารถตั้งค่าโดยใช้โปรแกรม IISCrypto
- ตัวอย่างการตั้งค่า
- ลอง Scan จะไม่พบช่องโหว่ RC4
DES
สำหรับ Tripple DES สามารถปิดได้จากบทความ How to Disable Weak Cipher (3DES) in IIS หรือใช้โปรแกรม IISCrypto ดังภาพข้างต้น
Protocols
SSL v2 and v3
สำหรับการปิด SSL v2 และ v3 สามารถตรวจสอบวิธีการได้จาก บทความ ***แนะนำให้เปิด Port TLS 1.0 ด้วย***
- How to Disable SSL Version 2 and 3 Protocol in IIS
- How to Enable TLS Version 1.1 and 1.2 Protocol in IIS
คำเตือน; ในการปิดทั้ง SSLv2, SSLv3, TLS 1.0 และ Hashes SHA อาจมีผลทำให้ไม่สามารถใช้งาน MS SQL studio ดังรูป ควรทำการทดสอบให้แน่ใจอีกครั้ง
- จากการทดสอบ – เปิด SSL v2, v3 และ TLS 1.o แต่เปิด Hashes เพียง SHA256 นอกนั้นปิดหมด บน Port SQL server (1433) – โดยตั้งค่า บน IISCrypto พบว่าเกิด Error ตามข้างต้น ดังรูป
- เปิด TLS 1.0 ปิดเฉพาะ MD5 (เชื่อมต่อได้)
- ทดสอบการตั้งค่า
- ทดสอบช่องโหว่ใน Nessus จะพบว่า ช่องโหว่ SSLv2 และ SSL v3 หายไป
- ทดสอบการตั้งค่า
อ้างอิง (Reference)
- https://support.microsoft.com/en-ae/help/3135244/tls-1-2-support-for-microsoft-sql-server
- https://community.spiceworks.com/topic/860418-problem-with-ms-sql-after-disabling-ssl-3-0-and-tls-1-0
- http://www.admin-enclave.com/en/articles/windows/245-resolved-the-client-and-server-cannot-communicate,-because-they-do-not-possess-a-common-algorithm.html
- https://blogs.msdn.microsoft.com/fabdulwahab/2015/09/09/security-protecting-sql-server-applications/