AugustQ
(Themenstarter)
Anmeldungsdatum: 24. Oktober 2007
Beiträge: 731
|
Hi, noch einige Argumente von mir zu der hier laufenden Diskussion: Der Server steht in der Verantwortung der Stadt Wiesbaden, also einer staatlichen Stelle. Und in der Diskussion hatte ich dann auch mit Juristen zu tun, die dann sagten (siehe Überschrift), und das gebetsmühlenhaft. Da konnte ich ein Argument nach dem anderen anbringen, es wurde einfach nur gesagt ..... Verweise auf das BSI bringen nichts. Auf der BSI-Seite wird explizit von der Verwendung von TLS in der Version 1.0 oder 1.1 abgeraten, aber das interessiert in WI niemanden. Im TMG ist im §16 eine Strafe vorgesehen für den Fall, daß ein Server nicht auf dem aktuellen Software-Stand gehalten wird, aber auch das ist kein Argument. usw. Das Thema IT-Sicherheit ist für die Politik ein schwieriges. Und die Diskussionen sind frustrierend. Schönen Gruß
AugustQ
|
AugustQ
(Themenstarter)
Anmeldungsdatum: 24. Oktober 2007
Beiträge: 731
|
wieder was gefunden: auf der Wikipedia-Seite zu RC4 steht:
Im Februar 2015 wurde mit RFC 7465 der Einsatz von RC4 im Rahmen von TLS verboten, da es erhebliche Sicherheitsmängel aufweist.[1][2] Zitat: verboten Ich glaub, ich schreib noch mal was dazu auf meinem Blog und begebe mich erneut in den Diskussions-Ring.
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
rennradler schrieb: Das läuft so: Die Juristen staatlicher Stellen definieren solche moderne IT-System einfach nicht als rechtlich verbindlich. [...] Zwar weltfremd, aber Juristen denken so. Ich kenne ein IT-System, da schon lange gehackt wurde und genau mit dieser Argumentation weiter betrieben wird. Genau das hab ich zu hören bekommen, als ich das Problem angesprochen habe.
Hehe, ja. Und weißt du, wie Juristen ihre E-Mails verschlüsseln? Sie schreiben in die Signatur
„Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind, oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte den Absender und löschen Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail und der darin enthaltenen Informationen sind nicht gestattet.“
OK, zugegeben, das ist juristisch nicht haltbar, aber erfreut sich trotzdem einer absurden Beliebtheit. Sorry, OT musst sein. 😛
|
AugustQ
(Themenstarter)
Anmeldungsdatum: 24. Oktober 2007
Beiträge: 731
|
Hi, noch eine Beobachtung. Vor etlichen Wochen hatte ich schon mal an diesem Server der Stadt gespielt und dabei erfahren, daß der Server unter Ubuntu läuft (sonst hätte ich meine Frage nicht hier gestellt), inkl. der Versionstonnummer. Auch die Version des Apache-Server hatte ich erhalten. Leider habe ich mir diese Informationen nicht gesichert ....... Vor dem Start der Diskussion wollte ich diese Informationen erneut holen, aber: das geht nicht mehr, ist abgeschaltet. Selbst ping geht nicht mehr. Dazu passt dann dieses:
august@AMD4:~$ nmap --script ssl-enum-ciphers -p 443 piwi.wiesbaden.de
Starting Nmap 7.01 ( https://nmap.org ) at 2017-05-03 15:29 CEST
Nmap scan report for piwi.wiesbaden.de (141.90.9.69)
Host is up (0.021s latency).
rDNS record for 141.90.9.69: online.wiesbaden.de
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - A
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - A
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| TLS_RSA_WITH_DES_CBC_SHA (rsa 2048) - C
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA - D
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA - D
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 - E
| compressors:
| NULL
| cipher preference: server
| warnings:
| Ciphersuite uses MD5 for message integrity
|_ least strength: E
Nmap done: 1 IP address (1 host up) scanned in 4.94 seconds
august@AMD4:~$ das war am Mittwoch. Gestern erhielt ich dann nur noch eine verkürzte Antwort:
august@AMD4:~$ nmap --script ssl-enum-ciphers -p 443 piwi.wiesbaden.de
Starting Nmap 7.01 ( https://nmap.org ) at 2017-05-04 15:09 CEST
Nmap scan report for piwi.wiesbaden.de (141.90.9.69)
Host is up (0.025s latency).
rDNS record for 141.90.9.69: dev.wiesbaden.de
PORT STATE SERVICE
443/tcp open https
Nmap done: 1 IP address (1 host up) scanned in 6.20 seconds
august@AMD4:~$ Als würde dort ein Admin sitzen, der sich solche Anfragen ansieht und sie dann ausschaltet. Aber jetzt bin ich im Bereich der Verschwörungstheorien. Für sowas haben sie Zeit, für den Upgrade des TLS aber nicht. Schönen Gruß
AugustQ
|
AugustQ
(Themenstarter)
Anmeldungsdatum: 24. Oktober 2007
Beiträge: 731
|
ich habe diesen Thread mal auf den Status gelöst gesetzt. Eigentlich war das keine Frage/Problem, sondern nur eine Diskussion. Obwohl, ein paar Hinweise und Ideen habe ich doch erhalten. Vielen Dank dafür. Schönen Gruß
AugustQ
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5336
|
misterunknown schrieb: Thomas_Do schrieb: AugustQ schrieb: Frage #1: ist meine Aussage richtig? Oder ist die Aussage, wie zitiert in der Überschrift, richtig?
TLS 1.0 gilt m.E. zur Zeit nicht mehr als sicher.
TLSv1.0 ist nicht per se unsicher, es unterstützt aber noch unsichere Ciphers, wie beispielsweise RC4. Wenn das nicht rauskonfiguriert wird, ist die Verbindung tatsächlich potentiell unsicher.
Es geht nicht nur um die Ciphers, welche man ja serverseitig beschraenken koennte (siehe dazu bettercrypto.org), sonder auch das Protokoll an sich hat Unzulaenglichkeiten und Schwachstellen, auf die man verzichten kann. SSL ist ein No-Go, TLS1.0 wuerde ich als legacy bezeichnen - also wenn sein muss ok. Wenn es die Infrastruktur zulaesst, empfehle ich aber nur TLS 1.1, 1.2 oder 1.3 zu aktivieren. Bei halbwegs aktuellen Clients ist das ja kein Problem.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5336
|
AugustQ schrieb: das war am Mittwoch. Gestern erhielt ich dann nur noch eine verkürzte Antwort:
august@AMD4:~$ nmap --script ssl-enum-ciphers -p 443 piwi.wiesbaden.de
Starting Nmap 7.01 ( https://nmap.org ) at 2017-05-04 15:09 CEST
Nmap scan report for piwi.wiesbaden.de (141.90.9.69)
Host is up (0.025s latency).
rDNS record for 141.90.9.69: dev.wiesbaden.de
PORT STATE SERVICE
443/tcp open https
Nmap done: 1 IP address (1 host up) scanned in 6.20 seconds
august@AMD4:~$ Als würde dort ein Admin sitzen, der sich solche Anfragen ansieht und sie dann ausschaltet. Aber jetzt bin ich im Bereich der Verschwörungstheorien.
Solche Abfragen lassen sich nicht "abschalten".
> nmap --script ssl-enum-ciphers -p 443 piwi.wiesbaden.de
Starting Nmap 7.40 ( https://nmap.org ) at 2017-05-12 23:58 CEST
Nmap scan report for piwi.wiesbaden.de (141.90.9.69)
Host is up (0.022s latency).
rDNS record for 141.90.9.69: dev.wiesbaden.de
PORT STATE SERVICE
443/tcp open https
| ssl-enum-ciphers:
| TLSv1.0:
| ciphers:
| TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - C
| TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - C
| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
| TLS_RSA_WITH_DES_CBC_SHA (rsa 2048) - C
| TLS_RSA_EXPORT1024_WITH_RC4_56_SHA - D
| TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA - D
| TLS_RSA_EXPORT_WITH_RC4_40_MD5 - E
| compressors:
| NULL
| cipher preference: server
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| 64-bit block cipher DES vulnerable to SWEET32 attack
| 64-bit block cipher RC2 vulnerable to SWEET32 attack
| Broken cipher RC4 is deprecated by RFC 7465
| Ciphersuite uses MD5 for message integrity
|_ least strength: E
Nmap done: 1 IP address (1 host up) scanned in 3.68 seconds
Also grottigstes TLS. Fragt sich natuerlich, was da drauf laeuft:
> sudo nmap -sV -O -p 443 piwi.wiesbaden.de
[sudo] password for root:
Starting Nmap 7.40 ( https://nmap.org ) at 2017-05-13 00:00 CEST
Nmap scan report for piwi.wiesbaden.de (141.90.9.69)
Host is up (0.022s latency).
rDNS record for 141.90.9.69: wivmob.wiesbaden.de
PORT STATE SERVICE VERSION
443/tcp open ssl/http Microsoft IIS httpd (German)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Microsoft Windows 2003|XP
OS CPE: cpe:/o:microsoft:windows_server_2003::sp1 cpe:/o:microsoft:windows_server_2003::sp2 cpe:/o:microsoft:windows_xp::sp3
OS details: Microsoft Windows Server 2003 SP1 or SP2, Microsoft Windows XP SP3 or Windows Server 2003 SP2
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 15.82 seconds
Ein MS Windows Server 2003 mit IIS also. Der Support hierfuer lieft 2015 aus. Noch weitere Fragen?
|
AugustQ
(Themenstarter)
Anmeldungsdatum: 24. Oktober 2007
Beiträge: 731
|
eine Vorbemerkung: ich bin kein Admin, ich habe im Backend-Bereich gearbeitet, als Software-Entwickler. Sachen wie die Sicherheit dieses Servers ist für mich ein unbekanntes Territorium. Nun zu zwei Punkten: irgendwann vor etlichen Wochen hatte ich herausgetüftelt, daß der Server unter Ubuntu/Server läuft, deshalb auch meine Frage hier in diesem Forum. Auch die Version von Apache hatte ich irgendwie herausgefunden. wget? HEAD? curl? Ich habe leider nicht protokolliert, wie ich angefragt und was der Server geliefert hat. Die Aussage, daß der Server unter Windows läuft, ist für mich deshalb neu. Und in meinem Beitrag vom 5. Mai, etwas weiter oben, hatte ich dargestellt, daß ich per nmap die vom Server angebotenen Verschlüsselungsverfahren aufgelistet hatte (diesmal habe ich protokolliert). Und am nächsten Tag ging das nicht mehr. Also irgendwas muß da geändert worden sein. @sebix: die von Dir angegebene Abfrage läuft zwar bei mir, aber bringt ein ganz anderes Ergebnis (siehe mein Text vom 5. Mai, bzw. das Zitat in Deinem Beitrag). Irgendetwas ist da anders..... Schönen Gruß
AugustQ
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
AugustQ schrieb: Auch die Version von Apache hatte ich irgendwie herausgefunden. wget? HEAD? curl? Ich habe leider nicht protokolliert, wie ich angefragt und was der Server geliefert hat. Die Aussage, daß der Server unter Windows läuft, ist für mich deshalb neu.
Aktuell wird nur noch "Apache-Coyote/1.1" mitgeliefert:
curl -sI https://piwi.wiesbaden.de | grep Server
Und in meinem Beitrag vom 5. Mai, etwas weiter oben, hatte ich dargestellt, daß ich per nmap die vom Server angebotenen Verschlüsselungsverfahren aufgelistet hatte (diesmal habe ich protokolliert). Und am nächsten Tag ging das nicht mehr. Also irgendwas muß da geändert worden sein.
Das ist ja möglich, zumal du dich ja bei denen beschwert hast.
|
AugustQ
(Themenstarter)
Anmeldungsdatum: 24. Oktober 2007
Beiträge: 731
|
Thomas_Do schrieb: misterunknown schrieb: TLSv1.0 ist nicht per se unsicher, es unterstützt aber noch unsichere Ciphers, wie beispielsweise RC4. Wenn das nicht rauskonfiguriert wird, ist die Verbindung tatsächlich potentiell unsicher.
Ja, das hatte ich aber oben schon konkretisiert. Im vorliegenden Fall erlaubt der Server: TLS RSA EXPORT1024 mit RC4 56 SHA TLS RSA EXPORT1024 mit DES CBC SHA TLS RSA EXPORT mit RC4 40 MD5 (0x3) TLS RSA EXPORT mit RC2 CBC 40 MD5 TLS RSA mit RC4 128 MD5 TLS RSA mit RC4 128 SHA TLS RSA mit DES CBC SHA
die m.E. alle nicht mehr sicher sind.
ich habe diese Aussage mal erweitert und dargestellt: http://linux-fuer-wi.blogspot.com/2017/05/mitleser.html Sollte mir da ein Fehler unterlaufen sein, bitte ich um einen Hinweis. Schönen Gruß
AugustQ
|