IIS 6.0 - mitigante BESTIA

5

Recentemente, il mio valutatore PCI mi ha informato che i miei server sono vulnerabili a BEAST e mi hanno fallito. Ho fatto i miei compiti e voglio cambiare i nostri server web per preferire i cifrari RC4 su CBC. Ho seguito ogni guida che ho trovato ...

Ho modificato le chiavi di reg per la crittografia più debole di 128 bit su Abilitato = 0. completamente rimosso le chiavi di reg per le crittature più deboli. Ho scaricato IISCrypto e ho deselezionato tutto tranne RC4 128 cifrari e triple DES 168.

Il mio server Web preferisce ancora AES-256SHA. C'è un trucco in IIS 6.0 per far sì che i tuoi server web preferiscano i cifrari RC4 che non riesco a capire? Sembra che in IIS 7 abbiano reso questa soluzione molto facile da risolvere, ma ora non mi aiuta!

    
posta D3l_Gato 07.12.2012 - 17:27
fonte

1 risposta

3

Una possibile correzione è di disabilitare tutte le suite di crittografia non RC4. Questo interromperà le connessioni dai client che hanno scelto di non usare RC4 (probabilmente, questi sarebbero abbastanza rari), ma almeno garantirà che se viene effettuata una connessione, utilizzerà RC4, che è immune a BEAST.

In vero SSL / TLS , il server dovrebbe seguire l'ordine delle preferenze del cliente: l'elenco di cifrari supportati le suite inviate dal client sono ordinate e il server deve scegliere la suite prima in questo elenco che supporta anche. La mitigazione per BEAST che stai cercando è in realtà un modo per rendere il tuo IIS un po ' scortese ; sembra che Microsoft non abbia fornito un'impostazione per questo in IIS 6.0.

Tieni presente che i browser potrebbero anche includere una correzione, denominata divisione del record . Vedi ad esempio questa correzione da Microsoft ; sembra che un aggiornato Internet Explorer dividerà i record per impostazione predefinita e quindi sarà immune a BEAST, anche se viene utilizzata una suite di crittografia basata su CBC. Pertanto, un modo per correggere la potenziale vulnerabilità correlata a BEAST è non fare nulla e lasciare che i client correggano i loro browser, cosa che dovrebbero comunque (un browser Web non aggiornato, questo è un altro nome per "suicidio"). Dopotutto, l'attacco BEAST è un attacco al client .

    
risposta data 07.12.2012 - 17:48
fonte

Leggi altre domande sui tag