The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Отключение SSLv2 для защиты сервера от атаки DROWN
Отключаем SSLv2 для защиты от атаки DROWN, позволяющей с MITM-хоста получить
доступ к защищённому каналу связи между клиентом и уязвимым сервером.
Уязвимость проявляется если сервер поддерживает SSLv2 (не важно какой протокол
используется в текущем сеансе, какая реализация библиотеки шифрования
используется и какие протоколы поддерживает клиент).


Отключение SSLv2 в nginx (в версиях 0.7.64, 0.8.18 и младше SSLv2 включен по умолчанию):

   ssl_protocols TLSv1 TLSv1.1 TLSv1.2


Отключение SSLv2 в Apache httpd (в httpd 2.2.x и младше SSLv2 включен по умолчанию ):

   SSLProtocol All -SSLv2 -SSLv3

Отключение SSLv2 в Postfix (в версиях  2.9.13, 2.10.7, 2.11.5, 3.0.1 и младше
SSLv2 включен по умолчанию)):

    smtpd_tls_protocols = !SSLv2, !SSLv3
    smtp_tls_protocols = !SSLv2, !SSLv3
    lmtp_tls_protocols = !SSLv2, !SSLv3
    tlsproxy_tls_protocols = $smtpd_tls_protocols

    smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
    smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
    lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3
    tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols


    smtpd_tls_ciphers = medium
    smtp_tls_ciphers = medium


    smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem
    smtpd_tls_eecdh_grade = strong


    smtp_tls_exclude_ciphers =
        EXPORT, LOW, MD5,
        aDSS, kECDHe, kECDHr, kDHd, kDHr,
        SEED, IDEA, RC2
    smtpd_tls_exclude_ciphers =
        EXPORT, LOW, MD5, SEED, IDEA, RC2
 
02.03.2016 , Источник: https://drownattack.com...
Ключи: drown, ssl, tls, attack, block, nginx, apache, postfix / Лицензия: CC-BY
Раздел:    Корень / Безопасность / Шифрование, PGP

Обсуждение [ RSS ]
  • 1.1, A (?), 10:24, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Будто бы Postfix - единственный MTA в природе. Писали бы нормально, и для Exim, и для (мы же не только SMTP используем, правда?) Dovecot.
     
  • 1.2, _KUL (ok), 13:20, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может быть лучше обновить библиотеки, чем отключать уязвимые компоненты старых версий?
     
  • 1.3, ALex_hha (ok), 17:50, 02/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    omg, из криокамеры что ли вышли. Все это нормальные люди отключили еще при poodle
     
     
  • 2.5, asavah (ok), 23:01, 03/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    абсолютно идентичная мысля проскочила как "это" прочитал
    нормальные люди 100 лет назад уже поотключали эту хрень
     

  • 1.6, xwild (ok), 19:27, 07/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сколько комментариев и все претензии, давно ничего не спрашиваю на русскоязычных форумах, в основном только самоутверждаются вместо ответа, знаешь чем дополнить, - дополни или молчи. Люди не только статью читают, но и комментарии.
     
     
  • 2.8, uniman_ (?), 09:03, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >Сколько комментариев и все претензии, давно ничего не спрашиваю на русскоязычных форумах, в основном только самоутверждаются вместо ответа,

    Таки да.

     

  • 1.7, pavlinux (ok), 02:36, 08/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > smtp_tls_exclude_ciphers = EXPORT, LOW, MD5,  aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2
    > smtpd_tls_exclude_ciphers =  EXPORT, LOW, MD5, SEED, IDEA, RC2

    Какой придурок IDEA забанил? А RC4, DES/3DES оставили? Рекомендации от АНБ чтоль?


    >  kECDHe, kECDHr, kDHd, kDHr,

    Вот даже интересно, хоть кто знает, что тут написано и почему это надо отключать?  

     
     
  • 2.9, ALex_hha (ok), 19:53, 13/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Сколько комментариев и все претензии, давно ничего не спрашиваю на русскоязычных форумах, в основном только самоутверждаются вместо ответа, знаешь чем дополнить, - дополни или молчи. Люди не только статью читают, но и комментарии.

    ибо советовать в 2016 году отключить SSLv2 как то странно и даже без как то

     

  • 1.10, Demon (??), 09:51, 30/03/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вообще бомба теперь уязвимы очень серьезные компании.
     
     
  • 2.13, Аноним (-), 15:00, 09/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще бомба теперь уязвимы очень серьезные компании.

    Они всегда были уязвимы. По определению, т.к. цена вопроса окупалась.

     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру