Hallo Matthias! Am 2016-03-01 um 21:44 schrieb Matthias Šubik:
Dieser Link gibt, wie Du richtigerweise andeutest, nur Auskunft darüber, ob im gescannten IPv4-Adressraum die Lücke aufgetreten ist. Generell wäre es ratsam, die angewandten Verschlüsselungsstandards auf dem eigenen Server auf generellere Weise zu prüfen.[...] Deshalb bitte: Prüft ob Eure IP(s) beim Test dabei waren: https://drownattack.com/#test
Anbei ein paar hilfreiche Links zu Webtools, mit denen man SSL/TLS-Debugging hinsichtlich häufiger Fehler betreiben kann:
https://de.ssl-tools.net/mailservers https://de.ssl-tools.net/webservers/ https://whatsmychaincert.com/ https://www.ssllabs.com/
Für die gängigen Mail- und Webserver liefert meist eine Suche nach den Keywords cipher, cipherlist und tls protocols, sowie dem Namen des Serverdienstes und oder des Serverprogramms die erforderlichen Informationen...Updates machen hilft, am besten auch gleich manuell sicherstellen, dass SSLv2 und v3 garantiert abgestellt sind.
Bei dieser Gelegenheit kann es auch nicht schaden, auf jeder Maschine neue Diffie Hellman Parameter (dhparams) (in den erforderlichen Längen) zu erstellen, da diese aufgrund vorangegangener Probleme bei Pseudo-Zufallszahlengeneratoren oder in Folge früherer Lücken oder schlicht, weil sie zu kurz sind, nicht (mehr) die erforderliche Sicherheit bieten.
Wenn Ihr dabei Hilfe braucht, können wir uns darüber auf [email protected] austauschen, bzw. in kritischen Fällen natürlich auch beim abuse-team ([email protected]), auf Wunsch auch vertraulich.
Danke für Dein Angebot und diese Initiative!Eventuell wäre eine (kommentierte) Linksammlung im Funkfeuer-Wiki, die Hardening-Tips für die gängigen Dienste abbildet ein erster Schritt, damit die Informationen dazu und Erkenntnisse hieraus übersichtlich bleiben. Bitte poste den Link, wenn Du sie in Folge dieser Anregung angelegt haben wirst.
Beste Grüße Matthias
SG Erich
<<attachment: erich.vcf>>
-- Discuss mailing list [email protected] https://lists.funkfeuer.at/mailman/listinfo/discuss
