È possibile il DNS spoofare Exchange ActiveSync?

Naviga le tue risposte
1

Il certificato SSL della mia azienda per fondamentalmente tutti i loro siti Web e i server Activesync sono scaduti da tempo. Per il mio prossimo incontro devo spiegare come questo sia molto insicuro. Sfortunatamente non sono troppo informato sull'argomento di questi difetti di sicurezza.

  1. Ora sarà possibile avvelenare il DNS e attirare attacchi Man-in-the-Middle senza un certificato SSL appropriato?

  2. Se il DNS è stato effettivamente avvelenato, è possibile imitare un server di Exchange ActiveSync per dirottare tutte le e-mail in entrata e in uscita, incluso il controllo del telefono dello staff?

  3. Quali sono le implicazioni e le conseguenze di non avere un certificato SSL valido?

Ho letto online i vantaggi di avere un certificato SSL, ma nessuno sembra divertirsi a parlare di come viene effettuato un attacco reale. Si prega di elencare la terminologia, quindi posso forse google-fu il mio modo di aggirare questo problema.

    
posta Michael S 14.06.2016 - 01:30
fonte

1 risposta

1

un certificato SSL scaduto significa:

  • Non c'è più modo di convalidare l'autenticità del certificato. (Non posso più dire se è corretto o sostituito da un utente malintenzionato).
  • Tutti i software appropriati si lamenteranno ogni volta che mi collego a questo servizio, che addestra le persone a ignorare i messaggi. Quindi, quando un utente malintenzionato fa lo stesso, nessuno segnala nulla.
  • il modo in cui sono fatti il certificato e la chiave potrebbe essere superato. (un hash MD5 può facilmente trovare una collisione, per esempio).
  • Più a lungo una chiave è in uso, più alti sono i cambiamenti di qualcuno che si rompe o lo ruba. Per limitare la scadenza del certificato è stato inventato.
  • Per quanto riguarda i soldi per sostituire i certificati. I certificati SSL non sono più costosi come quelli che erano. la maggior parte dei certificati di dominio singolo è inferiore a € 10, -
  • un certificato scaduto mostra anche una mancanza di preoccupazione da parte della direzione e dell'IT. che mina la fiducia delle persone nella società.
  • ecc ...
risposta data 14.06.2016 - 10:45
fonte

Leggi altre domande sui tag

Autenticazione multiserver sicura Errore durante l'esecuzione di NodeFuzz [chiuso]