How to disable Weak Cipher and Protocol MS SQL server

บทนำ (Overviews)

ขั้นตอนการปิด Weak cipher บน Protocol ของ MS SQL server

 อย่างไรก็ตามการปิดช่องโหว่อาจมีผลกระทบต่อ Application ควรทดสอบใน Test Envinronment ก่อนขึ้น Production

 

ขั้นตอน (Steps)

Cipher

RC4

    1. เมื่อติดตั้ง MSSQL server โดย Default  (ทดสอบบน Windows 2008 r2 และ MS sql server 2008 r2) จะพบช่องโหว่ RC4 ตามผล Scan Nessus ดังนี้
    2. สามารถติดตามวิธีการปิด Weak Cipher (RC4) บน IIS How to Disable Weak Cipher (RC4) in IIS
    3. หรือสามารถตั้งค่าโดยใช้โปรแกรม IISCrypto 
    4. ตัวอย่างการตั้งค่า
    5. ลอง Scan จะไม่พบช่องโหว่ RC4

DES

สำหรับ Tripple DES สามารถปิดได้จากบทความ How to Disable Weak Cipher (3DES) in IIS หรือใช้โปรแกรม IISCrypto  ดังภาพข้างต้น


Protocols

SSL v2 and v3

สำหรับการปิด SSL v2 และ v3 สามารถตรวจสอบวิธีการได้จาก บทความ ***แนะนำให้เปิด Port TLS 1.0 ด้วย***

 คำเตือน; ในการปิดทั้ง SSLv2, SSLv3, TLS 1.0 และ Hashes SHA อาจมีผลทำให้ไม่สามารถใช้งาน MS SQL studio ดังรูป ควรทำการทดสอบให้แน่ใจอีกครั้ง

 

  • จากการทดสอบ – เปิด SSL v2, v3 และ TLS 1.o แต่เปิด Hashes เพียง SHA256 นอกนั้นปิดหมด บน Port SQL server (1433)  – โดยตั้งค่า บน IISCrypto พบว่าเกิด Error ตามข้างต้น ดังรูป
    • เปิด Hashes หมด (เชื่อมต่อได้) แต่ใช้ SSLv2 และ v3
    • เปิดเฉพาะ SHA256 และใช้ SSLv2 และ v3 (เชื่อมต่อไม่ได้) 
    • ปิดเฉพาะ MD5 (เชื่อมต่อได้) แต่ใช้ SSLv2 และ v3
    • ปิดเฉพาะ MD5 และ ปิด ใช้ SSLv2 และ v3 (เชื่อมต่อไม่ได้) 
    • เปิด TLS 1.0 ปิดเฉพาะ MD5 และ SHA (เชื่อมต่อไม่ได้)
  • เปิด TLS 1.0 ปิดเฉพาะ MD5 (เชื่อมต่อได้)
    • ทดสอบการตั้งค่า
    • ทดสอบช่องโหว่ใน Nessus จะพบว่า ช่องโหว่ SSLv2 และ SSL v3 หายไป

 

อ้างอิง (Reference)

ใส่ความเห็น