ISMS 심사에서 취약한 ssl ciphers 설정 및 tls1, 1.1 을 지원한다는 결함 내역이 나왔다. 1. TLS 설정의 경우 1 버전과 1.1 버전을 사용하여 결함이 발견 됨. 아래와 같은 방법으로 해당 사이트의 지원하는 tls 버전을 확인할 수 있고 확인해 보면 naver 나 여타 사이트도 tls 1과 1.1 을 지원하고 있어서 결함으로 나올 만한 사항은 아니지 않나 싶다.
2. ssl ciphers 에서 취약한 설정은 nginx 설정에는 아래 취약점으로 나올만 한 설정이 없는데, 발견이 되었고 # 취약한 ssl ciphers 지원으로 발견된 항목
그래서 찾아보니, 다음과 같이 직접 확인이 가능하여 시도를 해보았다.
# 내부망에서 호출 시, 다음과 같이 위에서 언급한 취약한 항목은 발견되지 않았다.
# 외부망(개인 aws)에서 호출 시, 다음과 같이 취약한 항목이 발견되었다.
혹시나하여 웹서버 모두 real ip 로 체크하였으나, 모두 정상이었다(?) 이로인해 결함으로 발견된 것 같은데, 아무래도 WAF 의 설정을 받는 것으로 보인다. 결국 서버 결함은 0인 걸로... 확인 해보니 waf 에 ssl cipher 셋팅을 설정하는 부분이 있었고 보안팀에서 waf 에서 적용하고, 다시 외부망에서 점검해 보니 취약한 설정이 사라진 것을 확인 하였다. |