关于阿里云SLB与WAF的TLS记录

背景信息

阿里云有一套企业官方网站&＃xff0c;大致架构是WAF->SLB->Websites->RDS&＃xff0c;可参考下图。
当前问题是客户需要做扫描测试&＃xff0c;发现一些问题需要修复&＃xff0c;其中涉及一项[TLS/SSL Sweet32 attack]是本文的关注点。

问题分析

[TLS/SSL Sweet32 attack]官方链接参考如下&＃xff1a;
weet32: Birthday attacks on 64-bit block ciphers in TLS and OpenVPN

那么简单的说&＃xff0c;我们必须要关闭低端的TLS&＃xff08;Transport Layer Security&＃xff09;&＃xff0c;而各TLS对于浏览器的兼容性参考如下&＃xff1a;

那么基本上来说&＃xff0c;设置1.2版本是比较通用的方式。有方向以后&＃xff0c;我们就要判断阿里云侧的TLS是如何修改并且它们对应的加密算法如何&＃xff0c;可以参考如下&＃xff1a;
SLB负载均衡TLS参考&＃xff1a;https://help.aliyun.com/document_detail/90740.html
WAF应用防火墙TLS参考&＃xff1a;https://help.aliyun.com/document_detail/200317.htm

客户WAF应用防火墙是高级版&＃xff0c;它是无法调整TLS相关信息。

问题对应

1. 登录阿里云控制台&＃xff0c;打开负载均衡页面进入到管理负载均衡的界面&＃xff0c;点击[管理证书]
   
2. TLS安全策略选择[tls_cipher_policy_1_2_strict_with_1_3]选项
   

本以为这样就完事的&＃xff0c;可是复测结果一样是存在相同的问题…没办法我自己用nmap测试确实也真的还存在问题…
测试命令&＃xff1a;

nmap -sV --script ssl-enum-ciphers -p 443 www.zhong.com


测试结果&＃xff1a;

PORT STATE SERVICE VERSION
443/tcp open ssl/http Tengine httpd
|_http-server-header: Tengine
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| compressors:
| NULL
| cipher preference: server
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| TLSv1.1:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| compressors:
| NULL
| cipher preference: server
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (ecdh_x25519) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (ecdh_x25519) - A
| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A
| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| compressors:
| NULL
| cipher preference: server
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
|_ least strength: C

由此可见&＃xff0c;按照客户当前的拓扑图来说&＃xff0c;客户是需要在WAF应用防火墙设置TLS控制才有效的。WAF应用防火墙高级版并无法满足要求&＃xff0c;只能够让客户升级到企业版才可以完成修复。

更新信息[2021-06-29]

工单提交反馈的结果是必须要升级WAF应用防火墙企业版&＃xff0c;而WAF应用防火墙专家群诊断是可以利用透明模式来解决。

透明接入
Web应用防火墙&＃xff08;WAF&＃xff09;提供CNAME接入和透明接入两种方式&＃xff0c;使您的网站流量可以受到WAF的保护。如果您的源站服务器为ECS服务器或者部署在阿里云公网SLB、ALB上&＃xff0c;那么除了使用CNAME接入&＃xff0c;您还可以选择云原生的透明接入方式。

在透明接入模式下&＃xff0c;无需修改域名DNS解析、设置源站保护&＃xff0c;同时无需改变服务器获取真实源IP的方式&＃xff0c;保护您的Web业务正常运转。

透明接入支持接入ALB实例、七层SLB实例、四层SLB实例、ECS实例上的Web流量。

参考链接&＃xff1a;
https://help.aliyun.com/document_detail/171452.html?spm&＃61;a2c4g.11186623.6.589.266b6dc416vRxq

最终确实是解决问题的&＃xff0c;参考下图&＃xff1a;

信息更新[2021-06-30]

阿里云效率非常高&＃xff0c;近期在不断跟进的问题&＃xff0c;今天12点获取最新信息是WAF全功能都可以设置TLS参数。因此CNAME也可以愉快的玩耍&＃xff01;