Red Hat Enterprise Linux es una de las distribuciones Linux más utilizadas en entornos empresariales, por lo tanto, la seguridad es fundamental. Ahora, el equipo de desarrollo de la versión Red Hat Enterprise Linux 7.4 ha incorporado importantes mejoras respecto a las políticas de seguridad y algoritmos de cifrados compatibles con esta distribución.

En los últimos tiempos se han realizado multitud de ataques a sistemas operativos aprovechando algoritmos y protocolos criptográficos antiguos y obsoletos. Aunque es una buena práctica de seguridad evaluar los nuevos protocolos, también lo es ir eliminando los antiguos protocolos para evitar estos problemas de seguridad. Sin embargo, retirar el soporte para un protocolo o algoritmo criptográfico es algo muy delicado debido al software que tengamos instalado en el servidor, ya que muchas aplicaciones antiguas pueden aún necesitarlos.

Ataques como DROWN han puesto de manifiesto que, con solo habilitar un protocolo antiguo en paralelo de los nuevos, somos vulnerables a diversos ataques, por lo que es necesario retirar dicha compatibilidad con ellos.

Ahora el equipo de desarrollo de Red Hat Enterprise Linux (RHEL) 7.4 beta han introducido varias actualizaciones respecto a la criptografía, además, debemos tener en cuenta que este sistema operativo cumple los requisitos de certificación de seguridad de los módulos criptográficos FIPS140-2.

Retirada de SSH 1.0, SSL 2.0 y también los EXPORT

El equipo de desarrollo ha decidido retirar el soporte para SSH 1.0, ya no podremos configurar un servidor SSH con el primer protocolo por considerarse inseguro, aunque sí estará disponible de cara a los clientes SSH (aunque por defecto también se encuentra deshabilitada esta compatibilidad).

El conocido protocolo SSL 2.0 así como las suites de cifrado TLS “EXPORT” también se han eliminado sin condiciones, no podremos utilizarlos, esto se ha hecho tanto en las librerías criptográficas GnuTLS, NSS y OpenSSL. Otro aspecto importante, es que los parámetros Diffie-Hellmann para el intercambio de claves se deben generar como mínimo con 1024 bits de longitud de clave, aunque sí se podrá cambiar este parámetro de seguridad.

También se ha retirado el soporte por defecto para SHA, MD5 y MD4, aunque el administrador podrá ponerlos en marcha con el fin de permitir la compatibilidad con aplicaciones antiguas. Asimismo, en las sesiones con OpenSSH no se utilizará por defecto RC4 por considerarse inseguro, pero los administradores también podrán cambiar este parámetro.

RHEL irá eliminando SHA-1 gradualmente

Actualmente el algoritmo de hash SHA-1 no se considera seguro, pero actualmente muchas aplicaciones lo siguen utilizando. Por este motivo, y para no impedir el buen funcionamiento de las aplicaciones y el software instalado en el servidor, se irá retirando paulatinamente. Ahora todas las herramientas criptográficas estarán firmadas con SHA2-256, ya que proporcionan una compatibilidad máxima con clientes antiguos. El servidor SSH con OpenSSH seguirá aceptando las firmas digitales con SHA-1, pero ya se ha habilitado el soporte para SHA2-256.

RHEL no eliminará SHA-1 de raíz, debido a que aún se sigue utilizando ampliamente, no obstante, hacen una recomendación a los desarrolladores para que dejen de usarlo en favor de SHA2-256.

HTTP/2 y DTLS

Con la incorporación de OpenSSL 1.0.2 se ha incorporado Application Layer Protocol Negotiation para optimizar los round-trips del protocolo TLS, de esta forma, HTTP/2 será aún más rápido. Otro punto destacable es que con la introducción de OpenSSL 1.0.2 también se permite DTLS (Datagram TLS) del que ya os hablamos en RedesZone:

Os recomendamos visitar la página web de RHEL 7.4 beta donde encontraréis todos y cada uno de los cambios con respecto a la seguridad.