Ocorreu um problema ao passar o scan PCI Trustwave devido à vulnerabilidade do BEAST

Navegue suas respostas
3

Eu estou no meu juízo final com este! Eu não sou uma pessoa de CI / rede para começar, e por isso peço desculpas se estou fazendo a pergunta errada / dando a informação errada.

Estou trabalhando para tentar que um site de cliente passe na verificação de segurança da Trustwave para que ele continue aceitando cartões de crédito. Aqui está a linha do tempo dos eventos até agora:

  1. Duas semanas atrás, fui contatado para corrigir o problema na verificação do site de nossos clientes. O scan disse que estávamos falhando em 3 itens devido à vulnerabilidade do BEAST (CVE-2011-3389)
  2. O site está no Windows Azure e estava em um sistema operacional convidado muito antigo, então atualizei o sistema operacional convidado para 3.2 no Windows Server 2012. De acordo com o Banco de Dados de Vulnerabilidades Nacionais , esta vulnerabilidade é discutida em Boletim de Segurança da Microsoft MS12-006 , abordado na versão Azure Guest OS 1,18 / 2,1 .
  3. A verificação continuou a falhar nos mesmos 3 itens, embora, de acordo com a documentação do MS, o Windows Server 2012 / IIS8 não seja afetado por esta vulnerabilidade
  4. Baixei a ferramenta IISCrypto e apliquei as configurações do BEAST e reiniciei. Isso me reduziu a apenas 1 vulnerabilidade relatada - (Opções fornecidas pelo cliente 'TLSv1: ALL: eNULL: aNULL'; Código de bloqueio de servidor 'TLSv1: AES128-SHA'). Apenas pelo que eu acho que sei sobre isso, não faz nenhum sentido desde que as cifras RC4 foram todas as primeiras. Como uma observação, o scanner on-line do SSL Labs relatou que nosso site não estava mais vulnerável ao BEAST.
  5. Em seguida, fui para terra queimada e desativada todas as cifras CBC, deixando apenas RC4 em uma tentativa de forçá-lo, não importa o que negociar com a cifra RC4. A verificação ainda falha na mesma vulnerabilidade, no entanto, os laboratórios SSL ainda relatam que nosso site está bem.

Eu realmente quero testar isso eu mesmo, no entanto, como eu disse, este não é o meu verdadeiro trabalho - eu sou um desenvolvedor, e embora eu queira aprender muito sobre CI, eu não tenho tempo hoje! O que eu fiz até agora é usado minha instância openssl para tentar a consulta como eu acho que a Trustwave está apresentando para ver se eu posso recriar sua evidência: 

openssl s_client -connect thenewtonproject.com:443 -cipher "TLSv1:ALL:eNULL:aNULL"

Quando executo isso, vejo que ele diz TLSv1/SSLv3. Cipher is RC4-SHA , o que me levaria a acreditar que a verificação da Trustwave está errada, mas como essa é a primeira vez que eu fiz algo assim com o openssl, nem tenho certeza se usei o comando / sintaxe certo. Alguém pode me ajudar a corrigir minha sintaxe / verificar meu resultado contra o mesmo site?

EDITAR

De acordo com a Trustwave, a descrição do problema do BEAST é:

The SSL protocol encrypts data by using CBC mode with chained initialization vectors. This allows an attacker, which is has gotten access to an HTTPS session via man-in-the-middle (MITM) attacks or other means, to obtain plain text HTTP headers via a blockwise chosen-boundary attack (BCBA) in conjunction with Javascript code that uses the HTML5 WebSocket API, the Java URLConnection API, or the Silverlight WebClient API. This vulnerability is more commonly referred to as Browser Exploit Against SSL/TLS or "BEAST".

De acordo com a Trustwave, as etapas para correção são:

Affected users should disable all block-based cipher suites in the server's SSL configuration and only support RC4 ciphers, which are not vulnerable to fully address this vulnerability. This vulnerability was addressed in TLS version 1.1/1.2, however, support for these newer TLS versions is not widely supported at the time of this writing, making it difficult to disable earlier versions. Additionally, affected users can also configure SSL to prefer RC4 ciphers over block-based ciphers to limit, but not eliminate, exposure. Affected users that implement prioritization techniques for mitigation as described above should appeal this vulnerability and include details of the SSL configuration.

Eu recebi as informações sobre a ferramenta IISCrypto do Google Googling genérico da semana passada.

EDIT 2: Por solicitação, aqui está o aspecto das cifras no registro: 

[\AES 128/128]
"Enabled"=false
[\AES 256/256]
"Enabled"=false
[\DES 56/56]
"Enabled"=false
[\NULL]
"Enabled"=false
[\RC2 128/128]
"Enabled"=false
[\RC2 40/128]
"Enabled"=false
[\RC2 56/128]
"Enabled"=false
[\RC4 128/128]
"Enabled"=true
[\RC4 40/128]
"Enabled"=false
[\RC4 56/128]
"Enabled"=false
[\RC4 64/128]
"Enabled"=false
[\Triple DES 168/168]
"Enabled"=true
    
por tostringtheory 08.04.2013 / 21:56

1 resposta

1

Isso foi originalmente respondido aqui:

Eu apliquei isso e funciona:

foi respondido pelo link link

Deixe-me saber se funcionou

    
por 04.08.2014 / 22:58

Tags

Nginx e HttpGzipStaticModule IIS 7 - altere o atributo allowDefinition para uma seção de configuração em machine.config