Autor Thema: TLS (wieder) verwundbar (ROBOT Attack)  (Gelesen 4460 mal)

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
TLS (wieder) verwundbar (ROBOT Attack)
« am: 14.12.17 - 08:10:00 »
Hallo,

habt Ihr auf Heise auch bereits gelesen, dass TLS Verschlüsselung (wieder mal) verwundbar ist?
Man kann seine Seiten testen: https://robotattack.org/

Ich habe dabei auch unsere "normalen" Webseiten und unseren Mailserver getestet.
Mit dem Ergebnis, die normalen Webseiten gelten als sicher, der Mailserver (wie befürchtet) nicht.
Obwohl mich das auch ein wenig wundert, denn das verwendete (Wildcard-)Zertifikat ist identisch.
Aber dafür verstehe ich wohl zu wenig von der Verschlüssungsthematik.

Wie schneiden denn Eure Mailserver beim Test ab? Anfällig oder nicht?
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.728
  • Geschlecht: Männlich
Re: TLS (wieder) verwundbar (ROBOT Attack)
« Antwort #1 am: 14.12.17 - 08:43:57 »
Du kannst Deine server entsprechend "tweaken". Dazu musst du die cipher ausschließen, die den Angriff zulassen.

Ich habe bei mir in die notes.ini folgendes eingetragen

SSLCipherSpec=C030009FC02F009EC028006BC0140039C0270067C013

Danach den HTTP task stoppen und wieder starten.

https://dev.ssllabs.com/ssltest/ testet auf ROBOT. Nach der Modifikation war mein server wieder "sauber"

Zu SSLCipherSpec siehe https://www-10.lotus.com/ldd/dominowiki.nsf/dx/TLS_Cipher_Configuration
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: TLS (wieder) verwundbar (ROBOT Attack)
« Antwort #2 am: 14.12.17 - 09:00:32 »
Ich habe den ini-Eintrag gesetzt und jetzt wird auch der Mailserver wieder als sicher eingestuft.
Vielen Dank für den Tipp.
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: TLS (wieder) verwundbar (ROBOT Attack)
« Antwort #3 am: 14.12.17 - 12:47:58 »
@schroederk: WEISST Du, was Du damit gemacht hast? Eigentlich solltest Du den richtigen Wert für Dich selbst ermitteln, denn was für den einen passt, ist nicht unbedingt das, was der andere will.

Die Ciphers kann man sich quasi als den "Dialekt" vorstellen, in dem sich die beiden Gegenseiten über TLS unterhalten.

Jeder Client / jeder Server versteht / unterstützt verschiedene Dialekte.
Die Cipher selbst sind unterschiedlich sicher / unterschiedlich leicht knackbar.

Wenn Du Deinen Server auf bestimmte Ciphers beschränkst, dann gehst Du immer einen Kompromiss zwischen Kompatibilität (alte Browser unterstützen nur alte, unsichere Cipher) und Sicherheit (unsichere Cipher abschalten).

Es kann jetzt also sein, dass sich Benutzer / Kunden / wer auch immer sich auf Deinen Webserver aufschaltet nicht mehr mit Deinem Server connecten können, weil Du den einzigen Cipher abgeschaltet hast, den ihr Browser noch unterstützt hätte.

Ich verwende hierzu die von Ulrich genannte SSLLabs- Seite: Die läuft gegen Deinen Server und sagt Dir ganz genau, welche Browser / Client- Typen mit Deinem Server sprechen können, und wenn ja, welchen Cipher sie verwenden. Nun kannst Du die Einträge durchgehen und ggf. noch Cipher rausstreichen (wenn die nur für uralte Browser verwendet werden, die Du nocht mehr supporten willst) oder hinzufügen (wenn Du z.B. aus Unternehmensgründen noch uralte Browser wie IE9 o.ä. unterstützen musst.

Erst wenn Du das gemacht hast, kannst Du sicher sein, dass alle gewünschten Clients mit Deinem Server kommunizieren können.

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline schroederk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.924
  • Geschlecht: Männlich
  • Ich liebe dieses Forum!
Re: TLS (wieder) verwundbar (ROBOT Attack)
« Antwort #4 am: 14.12.17 - 14:25:55 »
@Tode: Mit ist klar, dass  ich gegebenfalls bestimmte Clients aussperre.
Das Thema hatte ich auch schon mit Kunden/Lieferanten, die sogar offenbar noch unbedingt SSLv2 haben wollten.
Momentan ist ein alter MFP (Multi-Funktions-Printer) beeinträchtigt, bei dem Scan-to-Mail nicht mehr funktioniert.
Auf der Server-Console steht dann, dass kein unterstützter Cipher gefunden wurde.
Blöd, dass man nicht sehen kann, welcher Cipher versucht wird.
Aber ich werde nicht wegen ein paar alten Druckern die Sicherheit des Systems untergraben.
Ich wäre ja gerne weniger egoistisch, aber was hab ich davon?

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: TLS (wieder) verwundbar (ROBOT Attack)
« Antwort #5 am: 14.12.17 - 15:22:24 »
Das kann man mittels SSL- Debug- Parametern durchaus rausfinden:

DEBUG_SSL_HANDSHAKE=2 and DEBUG_SSL_CIPHERS=2 ... siehe z.B. hier
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.728
  • Geschlecht: Männlich
Re: TLS (wieder) verwundbar (ROBOT Attack)
« Antwort #6 am: 14.12.17 - 15:41:42 »
Genau, du kannst die Parameter setzen; sind ohne neustart wirksam.
Dann den Drucker verbinden lassen. Jetzt solltest du den fehlenden cipher sehen.
Wenn er mit RSA anfängt, dann doof, weil ROBOT.
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

Offline habemehl

  • Frischling
  • *
  • Beiträge: 38
Re: TLS (wieder) verwundbar (ROBOT Attack)
« Antwort #7 am: 14.12.17 - 18:49:55 »
Hallo,

habt Ihr auf Heise auch bereits gelesen, dass TLS Verschlüsselung (wieder mal) verwundbar ist?
Man kann seine Seiten testen: https://robotattack.org/

Ich habe dabei auch unsere "normalen" Webseiten und unseren Mailserver getestet.
Mit dem Ergebnis, die normalen Webseiten gelten als sicher, der Mailserver (wie befürchtet) nicht.
Obwohl mich das auch ein wenig wundert, denn das verwendete (Wildcard-)Zertifikat ist identisch.
Aber dafür verstehe ich wohl zu wenig von der Verschlüssungsthematik.

Wie schneiden denn Eure Mailserver beim Test ab? Anfällig oder nicht?

Wie konntest du deinen Mailserver (SMTP) testen? Die von dir verlinkte Seite und SSLLabs testen nur gegen HTTPS.

Offline eknori

  • @Notes Preisträger
  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 11.728
  • Geschlecht: Männlich
Re: TLS (wieder) verwundbar (ROBOT Attack)
« Antwort #8 am: 14.12.17 - 19:53:46 »
https://github.com/robotattackorg/robot-detect/blob/master/robot-detect

Testet standardmäßig auf port 443, das kann aber mittles -p <portnum> an der Kommandozeile geändert werden.
Egal wie tief man die Messlatte für den menschlichen Verstand auch ansetzt: jeden Tag kommt jemand und marschiert erhobenen Hauptes drunter her!

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz