forum.opsi.org

opsi support forum
https://forum.opsi.org/

Poodle Angriff Config IE und FF?

https://forum.opsi.org/viewtopic.php?t=6870

Seite 1 von 1

Poodle Angriff Config IE und FF?

Verfasst: 21 Okt 2014, 09:00
von mhaegele
Hallo!
um min. TLS 1.0 Verschlüsselung zu verwenden sollte man dies in den Browsern konfigurieren:
für IE:
Einige Applikationsanbieter schalten löblicherweise die sslv3 Kommunikation ab was aber dann auch zu Fehlern führt wenn die Browser nicht angepasst wurden ...:

Code: Alles auswählen

die Unterstützung von SSLv3 wurde deaktiviert und damit die Schwachstelle CVE-2014-3566, auch bekannt als SSLv3 Poodle Attack, geschlossen. 
Aktuell unterstützten wir damit nur noch das Protokoll TLS1.0 

Bitte öffnen Sie den Internet Explorer, klicken Sie auf "Extras" > "Internetoptionen" > "Erweitert" > scrollen runter bis zu dem 
Überpunkt "Sicherheit" und markieren "TLS 1.0 verwenden". Bestätigen Sie bitte die Änderung durch "Übernehmen" und starten Sie den Browser neu
heise Nachricht dazu:
http://www.heise.de/security/meldung/So ... 24327.html

Hat vielleicht jemand schon ein passendes Produkt gebaut daß die Einstellungen im Internet Explorer und Firefox anpasst
oder wie löst ihr das? ...

Danke Vorab!
MH

Re: Poodle Angriff Config IE und FF?

Verfasst: 23 Okt 2014, 12:23
von Thomas_H
Moinsens,

auf einem Testrechner den FF installieren und händisch einrichten. Dann das erstellte Profil kopieren und verteilen. Entweder die harte Methode, also FF deinstallieren, alle Profile löschen und neu installieren, dann das erstellte Profil auf den Client-Rechner kopieren, oder eben die etwas weichere Methode, die berücksichtigt, dass der User noch Links und Favoriten gespeichert haben könnte. Das ist dann aber etwas umfangreicher in der Programmierung.

Ich bin im Falle von Sicherheitlücken für die harte Methode.

Gruß

Thomas_H

Re: Poodle Angriff Config IE und FF?

Verfasst: 24 Okt 2014, 11:13
von mmarten
Hallo,

der IE ist nur ein Teil des Windows Problems. Nur den Haken bei SSL 3.0 im IE zu entfernen hilft dem Rest von Windows nicht.
Deshalb habe ich ein Paket erstellt das die Crypto Einstellungen vom gesamten Windows ändert.
Neben SSL 3.0 entferne ich auch alle schwachen Verschlüsselungen und stelle die stärksten Allgorithmen an die erste Stelle.
Das Paket ist prinzipiell so aufgebaut das es auch durch Productpropertys individuell gesteuert werden könnte. Ich habe mir
diese Mühe jedoch nicht gemacht, da ich stets das gleiche sicherere Setup auf alle Server/Clients verteile.

Auf Firefox oder Chrome hat das freilich keinen Einfluss.

Hier Downloaden und testen:
http://goo.gl/jyFTU4

Hier noch zwei Links zum testen der neuen Konfig:
https://www.ssllabs.com/ssltest/viewMyClient.html
https://www.ssllabs.com/ssltest/index.html

Viel Spaß

Achtung: Dieses Setup ist nur für Win7/8 und Win2008R2/2012 geeignet. für ältere OS müssten extra Sektionen ergänzt werden,
da diese OS u.a. TLS 1.2 nicht unterstützen.
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de