[Discuss] DROWN-Attack ... @ your device? (sorry for crossposting)

L. Aaron Kaplan (spam-protected)
Mi Mär 2 14:28:01 CET 2016 

> On 02 Mar 2016, at 01:48, Erich N. Pekarek <(spam-protected)> wrote:
> 
> Hallo Matthias!
> 
> Am 2016-03-01 um 21:44 schrieb Matthias Šubik:
>> [...]
>> Deshalb bitte:
>> Prüft ob Eure IP(s) beim Test dabei waren:
>> https://drownattack.com/#test
> Dieser Link gibt, wie Du richtigerweise andeutest, nur Auskunft darüber, ob im gescannten IPv4-Adressraum die Lücke aufgetreten ist.
> Generell wäre es ratsam, die angewandten Verschlüsselungsstandards auf dem eigenen Server auf generellere Weise zu prüfen.
> 
> Anbei ein paar hilfreiche Links zu Webtools, mit denen man SSL/TLS-Debugging hinsichtlich häufiger Fehler betreiben kann:
> 
> https://de.ssl-tools.net/mailservers
> https://de.ssl-tools.net/webservers/
> https://whatsmychaincert.com/
> https://www.ssllabs.com/
> 

Darf ich auch auf bettercrypto.org verweisen?
Dort sind copy & paste Anleitungen, wie man den eigenen Server absichert.
(unter anderem haben da ein paar Leute von Funkfeuer auch mitgeschrieben)


>> Updates machen hilft, am besten auch gleich manuell sicherstellen, dass SSLv2 und v3 garantiert abgestellt sind.
> Für die gängigen Mail- und Webserver liefert meist eine Suche nach den Keywords cipher, cipherlist und tls protocols, sowie dem Namen des Serverdienstes und oder des Serverprogramms die erforderlichen Informationen...
> 
> Bei dieser Gelegenheit kann es auch nicht schaden, auf jeder Maschine neue Diffie Hellman Parameter (dhparams) (in den erforderlichen Längen) zu erstellen, da diese aufgrund vorangegangener Probleme bei Pseudo-Zufallszahlengeneratoren oder in Folge früherer Lücken oder schlicht, weil sie zu kurz sind, nicht (mehr) die erforderliche Sicherheit bieten.
> 
>> Wenn Ihr dabei Hilfe braucht, können wir uns darüber auf (spam-protected) austauschen,
>> bzw. in kritischen Fällen natürlich auch beim abuse-team ((spam-protected)), auf Wunsch auch vertraulich.
> Danke für Dein Angebot und diese Initiative!
> Eventuell wäre eine (kommentierte) Linksammlung im Funkfeuer-Wiki, die Hardening-Tips für die gängigen Dienste abbildet ein erster Schritt, damit die Informationen dazu und Erkenntnisse hieraus übersichtlich bleiben. Bitte poste den Link, wenn Du sie in Folge dieser Anregung angelegt haben wirst.

--> bitte schaut mal in bettercrypto.org rein. Da haben sich ein paar Leute schon wirklich viel Arbeit angetan
und mit vielen Experten quergecheckt (unter anderem hat Dan Bernstein bettercrypto ziemlich gelobt).
Macht vielleicht Sinn, bestehende guides anzusehen (und zu verbessern, wenn was auffällt), als wieder komplett einen neuen zu schreiben - weil das ist echt viel Aufwand.



Hope it helps.

lg,
a.

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 801 bytes
Beschreibung: Message signed with OpenPGP using GPGMail
URL         : <http://lists.funkfeuer.at/pipermail/discuss/attachments/20160302/aa62207b/attachment.sig>

Mehr Informationen über die Mailingliste Discuss