¿Es RDP susceptible al ataque BEAST?

Navega tus respuestas
3

Tengo servidores Windows 2008 R2 que están fallando en un análisis de vulnerabilidad de PCI porque tienen RDP habilitado (se debe deshabilitar).

He aplicado la configuración de PCI de herramienta IISCrypto , pero tengo que dejar TLS 1.0 habilitado para no poder romper RDP. La única "solución" que he podido encontrar es no usar TLS, pero eso no tiene mucho sentido ya que la capa de seguridad RDP heredada es menos segura.

Otro sitio sugirió desactivar todas las suites de cifrado que usan CBC, pero hacerlo rompió el RDP para mí. También he intentado otras configuraciones de cifrado sugeridas, sin éxito (también se rompió el RDP).

Esta publicación parece indicar que BEAST es no es realmente un problema para RDP .

¿Se puede utilizar realmente la vulnerabilidad de BEAST para comprometer el RDP? ¿Hay alguna vulnerabilidad / se ha hecho alguna vez?

    
pregunta Jim Balo 16.02.2015 - 06:17
fuente

1 respuesta

1

Algunas cosas:

  • Podría estar interesado en este enlace : - parece que los escáneres de cumplimiento PCI se confunden sobre estos problemas a veces
  • Technically Beast se aplica a los navegadores, pero CBC no es lo que quieres para tus cifrados de todos modos.
  • Sin embargo, el modo CBC es el predeterminado para RDP compatible con FIPS de todos modos :(
  • Sí, definitivamente quieres TLS.

Sin más información específica sobre su configuración, es muy difícil decir qué es lo que está rompiendo el RDP (tal vez sea más bien una pregunta de desbordamiento de pila o falla del servidor ... de hecho, consulte este hilo

Sin embargo ...

  • Deseas TLS 1.x seguro. NO DESACTIVAR TLS
  • Haz tu mejor esfuerzo para deshacerte de todos los cifrados CBC. Tienen problemas inherentes.

En resumen

No, el B rower E xploit A gainst S SL / T LS normalmente no se usa contra RDP, pero debe deshabilitar CBC y habilitar TLS de todos modos. Con los ajustes correctos, parece que la configuración óptima es posible.

    
respondido por el baordog 16.02.2015 - 07:40
fuente

Lea otras preguntas en las etiquetas

Descifrar TLS de un IDS Cumple con PCI Almacenamiento de datos de tarjeta de crédito en una tableta sin conexión