Findet man bei Penetrationstests einen Dienst, der Transportverschlüsselung einsetzt, so sollte man einen Blick auf die vom Dienst angebotenen Cipher-Suiten werfen. Viele verlassen sich auf Standardkonfigurationen und vertrauen darauf, dass diese vom Start weg sicher sind. Leider ist das mit an Sicherheit grenzender Wahrscheinlichkeit nie der Fall, da bei den Standardkonfigurationen vorwiegend ein Kompromiss zwischen sicherer Konfiguration und maximaler Kompatibilität eingegangen wird, dass möglichst viele (alte) Systeme noch mit dem Dienst kommunizieren können. Doch wie macht man’s dann eigentlich richtig?
Wir behelfen uns bei Penetrationstests damit, dass wir uns auf die Technische Richtlinie TR-02102-2 „Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ des BSI stützen und einen Abgleich der IST-Situation mit den Empfehlungen der Richtlinie durchführen. (Spoiler-Alarm: man findet nahezu immer eine Abweichung. Am häufigsten bei Webservern. 😉 )
In dieser Blog-Post-Serie möchte ich einen Einblick in eine mögliche, TR-Konforme TLS-Konfiguration bezogen auf oft angetroffene Dienste geben.
Episode 1 – TR-02102-2 kurz und knackig
Episode 2 – TR-02102-2 und der Apache HTTP Server
Episode 3 – TR-02102-2 und Postfix
Episode 4 – TR-02102-2 und Microsoft™ Internet Information Service (IIS)
Episode 5 – TR-02102-2 und NGINX
Episode 6 – TR-02102-2 und der Apache Tomcat Anwendungsserver
Die Episoden werden von Zeit zu Zeit verlinkt, wenn die neuen Episoden ausgestrahlt werden ;). Wer ein Drehbuchmanuskript für eine weitere Episode einreichen mag, kann dieses gerne über das Kontaktformular (PGP-verschlüsselt) einreichen.