The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Отключение SSLv2 для защиты сервера..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Отключение SSLv2 для защиты сервера..."  +/
Сообщение от auto_tips on 02-Мрт-16, 10:24 
Отключаем SSLv2 для защиты от атаки [[https://www.opennet.dev/opennews/art.shtml?num=43971 DROWN]], позволяющей с MITM-хоста получить доступ к защищённому каналу связи между клиентом и уязвимым сервером. Уязвимость проявляется если сервер поддерживает SSLv2 (не важно какой протокол используется в текущем сеансе, какая реализация библиотеки шифрования используется и какие протоколы поддерживает клиент).


Отключение SSLv2 в nginx (в версиях 0.7.64, 0.8.18 и младше SSLv2 включен по умолчанию):

   ssl_protocols TLSv1 TLSv1.1 TLSv1.2


Отключение SSLv2 в Apache httpd (в httpd 2.2.x и младше SSLv2 включен по умолчанию ):

   SSLProtocol All -SSLv2 -SSLv3

Отключение SSLv2 в Postfix (в версиях  2.9.13, 2.10.7, 2.11.5, 3.0.1 и младше SSLv2 включен по умолчанию)):

    smtpd_tls_protocols = !SSLv2, !SSLv3
    smtp_tls_protocols = !SSLv2, !SSLv3
    lmtp_tls_protocols = !SSLv2, !SSLv3
    tlsproxy_tls_protocols = $smtpd_tls_protocols

    smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
    smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
    lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3
    tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols


    smtpd_tls_ciphers = medium
    smtp_tls_ciphers = medium


    smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem
    smtpd_tls_eecdh_grade = strong


    smtp_tls_exclude_ciphers =
        EXPORT, LOW, MD5,
        aDSS, kECDHe, kECDHr, kDHd, kDHr,
        SEED, IDEA, RC2
    smtpd_tls_exclude_ciphers =
        EXPORT, LOW, MD5, SEED, IDEA, RC2

URL: https://drownattack.com
Обсуждается: http://www.opennet.dev/tips/info/2944.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Отключение SSLv2 для защиты сервера от атаки DROWN"  +/
Сообщение от A on 02-Мрт-16, 10:24 
Будто бы Postfix - единственный MTA в природе. Писали бы нормально, и для Exim, и для (мы же не только SMTP используем, правда?) Dovecot.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Отключение SSLv2 для защиты сервера от атаки DROWN"  +/
Сообщение от _KUL (ok) on 02-Мрт-16, 13:20 
Может быть лучше обновить библиотеки, чем отключать уязвимые компоненты старых версий?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Отключение SSLv2 для защиты сервера от атаки DROWN"  +/
Сообщение от ALex_hha (ok) on 02-Мрт-16, 17:50 
omg, из криокамеры что ли вышли. Все это нормальные люди отключили еще при poodle
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Отключение SSLv2 для защиты сервера от атаки DROWN"  +/
Сообщение от asavah (ok) on 03-Мрт-16, 23:01 
абсолютно идентичная мысля проскочила как "это" прочитал
нормальные люди 100 лет назад уже поотключали эту хрень
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Отключение SSLv2 для защиты сервера от атаки DROWN"  +/
Сообщение от xwild (ok) on 07-Мрт-16, 19:27 
Сколько комментариев и все претензии, давно ничего не спрашиваю на русскоязычных форумах, в основном только самоутверждаются вместо ответа, знаешь чем дополнить, - дополни или молчи. Люди не только статью читают, но и комментарии.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Отключение SSLv2 для защиты сервера от атаки DROWN"  +/
Сообщение от uniman_ on 13-Мрт-16, 09:03 
>Сколько комментариев и все претензии, давно ничего не спрашиваю на русскоязычных форумах, в основном только самоутверждаются вместо ответа,

Таки да.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Отключение SSLv2 для защиты сервера от атаки DROWN"  +/
Сообщение от pavlinux (ok) on 08-Мрт-16, 02:36 
> smtp_tls_exclude_ciphers = EXPORT, LOW, MD5,  aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2
> smtpd_tls_exclude_ciphers =  EXPORT, LOW, MD5, SEED, IDEA, RC2

Какой придурок IDEA забанил? А RC4, DES/3DES оставили? Рекомендации от АНБ чтоль?


>  kECDHe, kECDHr, kDHd, kDHr,

Вот даже интересно, хоть кто знает, что тут написано и почему это надо отключать?  

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Отключение SSLv2 для защиты сервера от атаки DROWN"  +/
Сообщение от ALex_hha (ok) on 13-Мрт-16, 19:53 
> Сколько комментариев и все претензии, давно ничего не спрашиваю на русскоязычных форумах, в основном только самоутверждаются вместо ответа, знаешь чем дополнить, - дополни или молчи. Люди не только статью читают, но и комментарии.

ибо советовать в 2016 году отключить SSLv2 как то странно и даже без как то

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Отключение SSLv2 для защиты сервера от атаки DROWN"  –1 +/
Сообщение от Demon (??) on 30-Мрт-16, 09:51 
Вообще бомба теперь уязвимы очень серьезные компании.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Отключение SSLv2 для защиты сервера от атаки DROWN"  +/
Сообщение от Аноним (??) on 09-Апр-16, 15:00 
> Вообще бомба теперь уязвимы очень серьезные компании.

Они всегда были уязвимы. По определению, т.к. цена вопроса окупалась.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру