关于EXPORT检测方式与修补方式.docxVIP

修訂歷史紀錄表項次年度版次修訂日期版次日期說明1104V1.0104/06/18新編23目的本文件將協助機關檢測出不安全的金鑰交換加密演算法，並進行停用。以下將針對「檢測方式」與常見平台的「修補方式」進行說明。檢測方式本參考指引提供檢測方法，協助各機關檢測現有加密通道中，是否有提供不安全的金鑰交換加密演算法。以下檢測方式將提供OpenSSL與NMAP工具，各機關可自行依照需求，採用合適檢測方式。OpenSSL檢測方法：於Ubuntu環境中開啟終端機(Terminal)執行指令：openssl s_client -connect 22:443 -cipher EXP 2 /dev/null | grep Cipher(本範例的檢測目標為22，請各機關自行更改IP 位址)檢視結果：若檢測目標並沒有發現問題，則不會有執行結果。若檢測目標被檢測出使用不安全的金鑰交換加密演算法，則會輸出Cipher的字串。各機關在發現不安全的金鑰交換加密演算法後，則可以進一步參考3修補方式進行修補。NMAP 檢測方式：於Windows環境中進行檢測：連結至/download.html，下載所需版本，並進行安裝。執行流程開啟命令提示單元開始→所有程式→附屬應用程式→命令提示字元執行cd C:\Program Files (x86)\Nmap(如選擇免安裝版則執行cd至nmap所在位置)執行檢測指令檢測指令：nmap --script ssl-enum-ciphers -p 443 39 -P0 | find EXP(此範例檢測目標為39，請各機關自行修改)檢視結果若檢測目標發現使用了不安全的金鑰交換加密演算法，則會輸出相關的演算法字串，各機關單位應將所輸出的演算法進行移除。請各機關單位進一步參考3修補方式。於Linux環境中進行檢測：於Linux平台中安裝nmap安裝指令：apt-get install nmap執行檢測指令檢測指令：nmap--script ssl-enum-ciphers -p 443 39 -P0 | grepEXP(此範例檢測目標為39，請各機關自行修改)檢視結果若檢測目標發現使用了不安全的金鑰交換加密演算法，則會輸出相關的演算法字串，各機關單位應將所輸出的演算法進行移除。請各機關單位進一步參考3修補方式 。修補方式以下針對常見平台進行修補指引：Apache修補平台Apache修補步驟開啟httpd.conf(根據不同的作業系統與Apache版本，其檔案位置路徑皆不一樣)Windows平台可能路徑：C:\AppServ\Apache2.2\conf\httpd.conf Linux平台可能路徑：/etc/httpd/conf/httpd.conf若apache版本為2.2.26以上(含)加入下列兩段後並儲存(如下列附圖)：SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHASSLHonorCipherOrder on若apache版本為2.2.26以下加入下列一段後並儲存(如下列附圖)：SSLCipherSuite H