Poodle / SSL Fallback deaktivieren

lefou · 15. Okt 2014

Hallo,

das Thema passt vielleicht nicht ausschliesslich nur hier, da mich aber primär die DownloadStation und der NZB-Download per SSL/TLS interessiert, poste ich es mal hier.

Hat jemand eine Ahnung, wie man den Fallback auf SSL unterbinden kann, wenn keine TLS-Verbindung aufgebaut werden kann?
Oder anders gefragt, wie deaktiviere ich SSL komplett auf meiner Synology?

Vielen Dank schon mal.
fou

Anzeige · 15. Okt 2014

Hallo lefou,

Bücher und Hardware zum Thema gibt es bei Amazon: Poodle / SSL Fallback deaktivieren

jahlives · 15. Okt 2014

lefou schrieb:
...da mich aber primär die DownloadStation und der NZB-Download per SSL/TLS interessiert, poste ich es mal hier.
...
Oder anders gefragt, wie deaktiviere ich SSL komplett auf meiner Synology?

wieso willst du SSL deaktivieren wenn du primär am NZB DL per SSL/TLS intressiert bist??

lefou · 15. Okt 2014

jahlives schrieb:
wieso willst du SSL deaktivieren wenn du primär am NZB DL per SSL/TLS intressiert bist??

Wenn die SSL/TLS-Session aufgebaut werden soll und mein Gegenüber aus welchem Grund auch immer mir kein TLS anbietet, wird SSL-Verbindung als Fallback ausgehandelt. Das möchte ich nicht.
Ich möchte sicherstellen, dass entweder eine TLS_verbindung zustandekommt oder gar keine.

jahlives · 15. Okt 2014

SSLv3 gilt eigentlich als ausreichend sicher

lefou · 15. Okt 2014

das hat sich spätestens seit gestern Nacht geändert.

Google mal nach POODLE + ssl

Frogman · 15. Okt 2014

Ich hatte es hier einmal angerissen... - und dort findet sich auch ein Link auf einen hiesigen Thread, wo Details zur Deaktivierung von SSLv3 zu finden sind.

lefou · 15. Okt 2014

Vielen Dank dafür, Frogman.

Der verlinkte Thread ist zwar ziemlich umfangreich, aber ich werd mich da mal reinlesen.

jahlives · 15. Okt 2014

na ja Man-in-the-Middle sind auch mit TLS gefährlich. Downgrades sind auch mit TLS möglich und gerade bei TLSv1 hat es einige sehr schwache Ciphren darunter. So sind RC4 und Ciphren im CBC Mode auch bei TLSv1 vorhanden. Also was ist daran sicherer als bei SSLv3? Zudem erfordert diese Art des Angriffs einen Zugriff auf die Netze zwischen Client und Server. Der Voraussetzungen für einen solchen Angriff sind sehr hoch

Frogman · 15. Okt 2014

Für die Deaktivierung von SSLv2 und SSLv3 reicht in den entsprechenden Konfig-Files ein

Code:

SSLProtocol all -SSLv2 -SSLv3

Aber wenn man schon dabei ist, kann man eben die Ciphern, welche der Server überhaupt anbietet, gleich mal etwas priorisieren und ausdünnen (bspw. auch diejenigen mit CBC und SHA überdenken). @jahlives: Bzgl. Man-in-the-middle stimme ich Dir auch zu - dennoch sollte man unnötige Dinge deaktivieren (wie gesagt auch grundsätzlich RC4 und CBC). Und wirkliche Fortschritte werden, wie an anderer Stelle auch schon erwähnt, erst solche Dinge wie DANE bringen.

p0lar r0yd · 16. Okt 2014

Hallo,

wo genau trage ich das ein, sprich welche Konfig Files?

Ich möchte die u.a. Kontaktaufnahme für mail verbessern.

Danke sehr.

PS: Syno 508 mit FW 4.0

Frogman · 16. Okt 2014

p0lar r0yd schrieb:
wo genau trage ich das ein, sprich welche Konfig Files?

Folge dazu einfach dem Link, den ich oben gegeben habe.

p0lar r0yd schrieb:
Ich möchte die u.a. Kontaktaufnahme für mail verbessern.

Was meinst Du denn damit?

Suche

Poodle / SSL Fallback deaktivieren

lefou

Benutzer

Anzeige

jahlives

Benutzer

lefou

Benutzer

jahlives

Benutzer

lefou

Benutzer

Frogman

Benutzer

lefou

Benutzer

jahlives

Benutzer

Frogman

Benutzer

p0lar r0yd

Benutzer

Frogman

Benutzer

Kaffeautomat