RIP RC4

Der RFC 7465 verbietet die Verwndung von RC4 in TLS, was eine längst überfällige Entscheidung ist. Ich bin aber wirklich gespannt, wie schnell dieser RFC umgesetzt wird und RC4 aus dem Internet verschwindet. Vor allem wenn man bedenkt, dass selbst Firmen wie Google immer noch RC4 verwenden (und sogar auch SSLv3).

Für ASA-Admins ist (spätestens) jetzt der Zeitpunkt, die SSL-Einstellungen anzupassen. Die könnten so aussehen:

ssl server-version tlsv1-only
ssl encryption dhe-aes128-sha1 dhe-aes256-sha1 aes128-sha1 aes256-sha1

Und für alle anderen Crypto-Einstellungen sind natürlich immernoch die Empfehlungen von bettercrypto.org zu empfehlen.

Als nächstes könnte jetzt bitte PPTP sterben!

Advertisements
RIP RC4

pfSense, OPNsense

pfSense ist neben der Cisco ASA meine zweite bevorzugte Firewall. Sie funktioniert einfach problemlos, ist open Source und unterstützt in der neuesten Version (endlich) auch IKEv2.
Eine manchmal zu hörende Kritik an pfSense ist, dass die Software auch von einer amerikanischen Firma kommt.
Als zahlender Nutzer hat man noch ein paar „Premium“-Feature bekommen. Z.B. ein Cloud-Konfiguratiuons-Backup. Das hat mir dann hauptsächlich nicht gefallen. (Und bevor sich jemand wundert; Ja, Meraki gegenüber bin ich auch noch etwas voreingenommen, wenngleich ich die Geräte selbst klasse finde).

Seit kurzem gibt es OPNsense, ein Fork von pfSense. Dieses System wird unter der Leitung einer niederländischen Firma entwickelt und wirkt auf den ersten Blick wie pfSense mit einer moderneren GUI. OPNsense soll einen festen Release-Cycle mit zwei neuen Versionen pro Jahr bekommen. Auch wenn mir die Weiterentwicklung von pfSense teilweise doch zu langsam war, bin ich mir trotzdem nicht sicher ob feste Release-Zyklen wirklich sinnvoll für ein Security-Device sind. 

Aber insgesamt ist OPNsense sehr interessant und ich werde mir das System mal genauer anschauen, vielleicht ist es ja (jetzt schon oder später) eine pfSense-Alternative.

pfSense, OPNsense

Safer Internet Day (SID)

Heute ist Safer Internet Day. Dabei geht es hauptsächlich darum, Kinder und Jugendliche den verantwortungsbewussten und sicheren Umgang mit Online-Technologien näherzubringen. Dazu passt auch gut der Heise-Beitrag „Datenschutzbeauftragter: Schülern fehlt Medienkompetenz“ von vorgestern.

Aber Safer Internet kann so viel mehr sein. Ein paar Anregungen:

  • Überzeuge jemanden endlich sein Windows XP auf eine supportete Windows-Version upzudaten.
  • Aktiviere auf einer Webseite HTTPS.
  • Nutze Threema als Messenger. (Ja, auch mit closed-source kann man die Sicherheit erhöhen).
  • Verschlüssele E-Mail. Wie das geht kann man gerade in einem Online-Kurs des HPI lernen.
  • Deinstalliere Adobe Flash wenigstens im Haupt-Browser.

Und dann gäbe es da bestimmt nch vieles, vieles mehr …
Ein Vorschlag noch für die IT-Admins in den Firmen:

  • Sorge dafür, dass auch die Firewalls ab und an mal upgedated werden und die Configs überprüft werden. Denn was ich da typischerweise sehe ist immer wieder abenteuerlich.

Safer Internet Day (SID)

TLS kränkelt

Dass TLS (Transport-Layer-Security) diverse Schwächen hat, ist lange bekannt. Die meisten davon sind in dem Standard TLSv1.2 ausgeräumt, leider wird diese Version noch nicht überall unterstützt.
Der RFC 7457 fasst die wichtigsten bekanten Angriffe auf TLS zusammen:
Summarizing Known Attacks on Transport Layer Security (TLS) and Datagram TLS (DTLS)
Interessant zu lesen sind in dem Zusammenhang auch der Draft 
Recommendations for Secure Use of TLS and DTLS – draft-ietf-uta-tls-bcp-08
und natürlich das Applied Crypto Hardening PDF von bettercrypto.org.

TLS kränkelt