Los conjuntos de cifrado que son potencialmente vulnerables a BEAST son aquellos que utilizan cifrados en bloque en el modo CBC (por ejemplo, TLS_RSA_WITH_3DES_EDE_CBC_SHA
). Además, el sistema de selección de paquetes de cifrado en SSL funciona así:
- El cliente envía la lista de suites de cifrado que está dispuesto a admitir.
- El servidor selecciona un conjunto de cifrado en esa lista, que también admite.
La lista enviada por el cliente se ordena por preferencia: la primera suite de la lista es la que el cliente desea utilizar más. Un servidor cortés debe respetar las preferencias del cliente. IIS6 parece ser "cortés" y esto no se puede cambiar.
BEAST es un ataque de cliente ; cuando decimos que un servidor es vulnerable a BEAST, en realidad queremos decir que el servidor tiene la oportunidad de proteger al cliente y, sin embargo, no lo hace. A saber, la "vulnerabilidad" ocurre cuando:
- La versión del protocolo es SSL 3.0 o TLS 1.0 (TLS 1.1+ es inherentemente inmune a los ataques tipo BEAST).
- El cliente anuncia solo las suites de cifrado que utilizan CBC; o, más a menudo, el cliente anuncia algunas suites de cifrado CBC primero (en orden de preferencia), con las suites basadas en RC4 que vienen solo después, y el servidor no no aplica el uso de RC4 (es decir, el servidor es demasiado cortés).
En la práctica , BEAST requiere un marco de ataque bastante complejo y, además, debe explotar un Igual Política de origen agujero en el navegador. Por el momento no se conoce ningún agujero SOP lo suficientemente flexible (la demostración de BEAST utilizó dos agujeros, en Javascript WebSockets y en Java, y ambos se han conectado desde entonces), por lo que la amenaza es solo potencial. No hay que preocuparse demasiado. Debe corregir el problema de BESTIA para cumplimiento , no para la seguridad real.
Dado que IIS6 no puede ser descortés, debe deshabilitar los conjuntos de cifrado basados en CBC. Ver @ jimbobmcgee respuesta para los punteros. Esto tiene el efecto secundario de negarse a hablar con clientes que saben solo de conjuntos de cifrado basados en CBC, pero los navegadores que no pueden hacer RC4 son extremadamente raros.