IIS 6.0 - mitigando BEAST

Navega tus respuestas
5

Recientemente, mi evaluador de PCI me informó que mis servidores son vulnerables a BEAST y me falló. Hice mi tarea y quiero cambiar nuestros servidores web para preferir cifrados RC4 en lugar de CBC. Seguí todas las guías que pude encontrar ...

Cambié mis claves de registro para mi cifrado más débil que 128 bits a Habilitado = 0. Se eliminaron por completo las claves de registro para los cifrados más débiles. Descargué IISCrypto y desactivé todo menos los cifrados RC4 128 y el triple DES 168.

Mi servidor web todavía prefiere AES-256SHA. ¿Hay algún truco en IIS 6.0 para que sus servidores web prefieran cifrados RC4 que no estoy averiguando? Parece que en IIS 7 hicieron esto muy fácil de arreglar, ¡pero eso no me ayuda ahora!

    
pregunta D3l_Gato 07.12.2012 - 17:27
fuente

1 respuesta

3

Una posible solución es deshabilitar por completo todas las suites de cifrado que no sean RC4. Esto interrumpirá las conexiones de los clientes que han optado por no usar RC4 (posiblemente, esto sería bastante raro), pero al menos garantizará que si se realiza una conexión, entonces usará RC4, que es inmune a BEAST.

En verdadero SSL / TLS , el servidor debe seguir el orden de preferencias del cliente: la lista de cifrado admitido las suites enviadas por el cliente se ordenan, y el servidor debe elegir la suite first en esta lista que también admite. La mitigación de BESTIA que está buscando es en realidad una forma de hacer que su IIS sea un tanto descortés ; Parece que Microsoft no proporcionó una configuración para eso en IIS 6.0.

Tenga en cuenta que los navegadores web también pueden incluir una solución, llamada división de registros . Consulte, por ejemplo, esta solución de Microsoft ; parece que un Internet Explorer actualizado dividirá los registros de forma predeterminada y, por lo tanto, será inmune a BEAST, incluso si se utiliza un conjunto de cifrado basado en CBC. Por lo tanto, una forma de corregir su potencial vulnerabilidad relacionada con BEAST es no hacer nada y dejar que los clientes corrijan sus navegadores, lo cual deberían hacer de todos modos (un navegador web que no está actualizado, ese es otro nombre para "suicidio"). Después de todo, el ataque BEAST es un ataque al cliente .

    
respondido por el Thomas Pornin 07.12.2012 - 17:48
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las diferencias prácticas entre el modo dirigido de SELinux y un sistema operativo basado en capacidades? Cerrar una etiqueta HTML sin usar el carácter real