IIS 6.0 atenuando o BEAST

Navegue suas respostas
5

Recentemente, meu avaliador do PCI me informou que meus servidores estão vulneráveis a BEAST e falhou comigo. Eu fiz minha lição de casa e quero mudar nossos servidores web para preferir cifras RC4 sobre CBC. Eu segui todos os guias que encontrei ...

Mudei minhas chaves reg para minha criptografia mais fraca que 128 bits para Enabled = 0. removi completamente as chaves reg para as criptografias mais fracas. Eu baixei o IISCrypto e desmarquei tudo, exceto as cifras RC4 128 e o triplo DES 168.

Meu servidor da web ainda prefere o AES-256SHA. Existe algum truque no IIS 6.0 para fazer com que seus servidores prefiram cifras RC4 que eu não estou descobrindo? Parece que no IIS 7 eles tornaram isso muito fácil de consertar, mas isso não me ajuda agora!

    
por D3l_Gato 07.12.2012 / 17:40

1 resposta

3

MSDN artigo sobre mitigação do BEAST

Do link acima:

NOTE: Unfortunately the above solution doesn’t apply to Windows Server 2003/Windows XP, the cipher suites prority is hard coded. On Windows Server 2003, they will probably have to disable the CBC based ciphers; however this might cause incompatibility with clients trying to connect to these servers.

Também vale a pena notar: se o SSL está sendo usado apenas em algo diferente de um site (cliente de e-mail, vpn, etc), ele não é vulnerável a ataques BEAST. O cliente deve estar se conectando a um navegador.

O MS12-006 implementou um método de atenuação do BEAST para máquinas XP / 2003, mas alguns aplicativos clientes podem ter problemas. Veja este artigo do MSDN para detalhes.

    
por 12.12.2012 / 17:24

Tags

Como alterar a senha atual do usuário? mount.ocfs2: O terminal de transporte não está conectado durante a montagem…?