{"id":1134,"date":"2015-05-22T11:00:02","date_gmt":"2015-05-22T09:00:02","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=1134"},"modified":"2015-05-21T20:50:52","modified_gmt":"2015-05-21T18:50:52","slug":"ssl-schwachstelle-bedroht-web-und-mail-server","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/ssl-schwachstelle-bedroht-web-und-mail-server\/","title":{"rendered":"SSL-Schwachstelle bedroht Web- und Mail-Server"},"content":{"rendered":"<p>Diverse Seiten im Internet berichten \u00fcber eine neue SSL-Schwachstelle, die durch eine sogenannte Logjam-Attacke ausgenutzt werden kann.[1. <a href=\"http:\/\/heise.de\/-2657502\" target=\"_blank\">Logjam-Attacke: Verschl\u00fcsselung von zehntausenden Servern gef\u00e4hrdet<\/a>] [2. <a href=\"http:\/\/t3n.de\/news\/logjam-tls-https-ssh-sicherheit-611725\/?hl=0\" target=\"_blank\">Tausende Web-Server betroffen: Neue HTTPS-Sicherheitsl\u00fccke aufgetaucht<\/a>] [3. <a href=\"https:\/\/weakdh.org\/sysadmin.html\" target=\"_blank\">Guide to Deploying Diffie-Hellman for TLS<\/a>]<\/p>\n<p>Dieser Artikel beschreibt, wie sich NGINX, Postfix und Dovecot h\u00e4rten lassen. Damit sind diese Dienste nicht mehr verwundbar f\u00fcr die aktuelle SSL-Schwachstelle.<\/p>\n<p>Ich beschreibe die drei genannten Dienste, da ich diese selbst auf mehreren Ubuntu-Servern betreibe. F\u00fcr weitere Dienste schaut bitte in der Quelle unter Punkt <a href=\"https:\/\/weakdh.org\/sysadmin.html\" target=\"_blank\">&#8222;3.&#8220;<\/a> nach.<\/p>\n<p>Zu Beginn wird eine Diffie-Hellman-Group f\u00fcr den Server generiert:<\/p>\n<pre>openssl dhparam -out dh_params.pem 2048\r\n<\/pre>\n<p>Anschlie\u00dfend folgt die H\u00e4rtung der einzelnen Dienste.<\/p>\n<h2 id=\"nginx\">NGINX<\/h2>\n<p>Im <code>server<\/code> Block der jeweiligen Webpr\u00e4senz werden die zu verwendenden &#8222;Cipher Suites&#8220; und Diffie-Hellman-Parameters angegeben:<\/p>\n<pre>ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';\r\n\r\nssl_prefer_server_ciphers on;\r\n\r\nssl_dhparam \/pfad\/zur\/dh_params.pem;\r\n<\/pre>\n<p>Anschlie\u00dfend wird der Dienst zur \u00dcbernahme der Einstellungen neu geladen:<\/p>\n<pre>sudo service nginx reload\r\n<\/pre>\n<h2 id=\"postfix\">Postfix<\/h2>\n<p>Beim MTA Postfix werden beide Parameter in der Datei <code>\/etc\/postfix\/main.conf<\/code> eingetragen:<\/p>\n<pre>smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA\r\nsmtpd_tls_dh1024_param_file = \/pfad\/zur\/dh_params.pem\r\n<\/pre>\n<p>Auch hier werden die Einstellungen anschlie\u00dfend neu eingelesen:<\/p>\n<pre>sudo service postfix reload\r\n<\/pre>\n<h2 id=\"Dovecot\">Dovecot<\/h2>\n<p>Die beiden Parameter werden in die Datei <code>\/etc\/dovecot\/conf.d\/10-ssl.conf<\/code> eingetragen:<\/p>\n<pre>ssl_cipher_list=ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA\r\nssl_prefer_server_ciphers = yes\r\n\r\n#regenerates every week\r\nssl_dh_parameters_length = 2048\r\n<\/pre>\n<p>Und auch hier werden die \u00c4nderungen anschlie\u00dfend eingelesen:<\/p>\n<pre>sudo doveadm reload\r\n<\/pre>\n<p>Damit sollte man vor dieser Schwachstelle vorerst gesch\u00fctzt sein.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Dieser Artikel beschreibt, wie sich NGINX, Postfix und Dovecot h\u00e4rten lassen. Damit sind diese Dienste nicht mehr verwundbar f\u00fcr die aktuelle SSL-Schwachstelle.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_metis_text_type":"","_metis_text_length":0,"_post_count":0,"footnotes":""},"categories":[95],"tags":[280,58,304,305,230,319,320,318,60],"class_list":["post-1134","post","type-post","status-publish","format-standard","hentry","category-security-2","tag-dovecot","tag-linux","tag-nginx","tag-planet","tag-postfix","tag-schwachstelle","tag-sicherheitsluecke","tag-ssl","tag-ubuntu"],"_links":{"self":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1134","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/comments?post=1134"}],"version-history":[{"count":6,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1134\/revisions"}],"predecessor-version":[{"id":1140,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/posts\/1134\/revisions\/1140"}],"wp:attachment":[{"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/media?parent=1134"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/categories?post=1134"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.my-it-brain.de\/wordpress\/wp-json\/wp\/v2\/tags?post=1134"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}