Fórum Root.cz
Hlavní témata => Software => Téma založeno: czechsys 07. 02. 2022, 11:57:40
-
Ahoj,
po upgrade na chrome a chromium 98 nelze preskocit varovani o starem tls. Mam to chapat, ze dle https://chromestatus.com/feature/5759116003770368 (M-98) to skutecne deaktivovali? Jde to pripadne nejak obejit v ramci chrome (napr. reinstalaci na enterprise verzi, atd.)?
-
Je toho celkem dost, co už v Chrome nejde bypassnout. Takže na takové věci používám Firefox.
Zdar Max
-
Je toho celkem dost, co už v Chrome nejde bypassnout. Takže na takové věci používám Firefox.
Zdar Max
To sic, ale jak dlouho to aktualizovany FF bude umet?
-
Je to tak, tyhle protokoly jsou už delší dobu formálně označeny za zastaralé (https://www.root.cz/zpravicky/tls-1-0-a-tls-1-1-jsou-formalne-oznaceny-jako-zastarale/), protože používají slabé hašovací algoritmy MD5 a SHA-1. Byla ukázána celá řada prakticky realizovatelných útoků: Poodle (https://www.root.cz/clanky/poodle-utok-na-sslv3/), Beast (https://www.root.cz/clanky/ssl-v-ohrozeni-komunikaci-je-mozne-desifrovat/), Robot (https://www.root.cz/clanky/postrehy-z-bezpecnosti-robot-se-probouzi/) a další.
Aktuální verze TLS jsou 1.2 a 1.3, první jmenovaná vyšla už v roce 2008, tedy před čtrnácti lety. Plán na zrušení podpory starších verzí oznámili tvůrci prohlížečů před čtyřmi lety (https://www.root.cz/zpravicky/chrome-firefox-edge-a-safari-vypnou-tls-1-0-a-1-1-v-roce-2020/).
-
Firefox už podporu TLS 1.0 a 1.1 dokonce vypnul 10. března 2020 ve verzi 74 (https://www.mozilla.org/en-US/firefox/74.0/releasenotes/). Kvůli pandemii ji ale zase dočasně zapnul (https://www.bleepingcomputer.com/news/security/firefox-reenables-insecure-tls-to-improve-access-to-covid19-info/), aby se uživatelé neměli problém dostat na weby s důležitými informacemi, které ještě nepodporují novější šifrovací protokoly. Je tedy jisté, že podpora starších TLS bude zase vypnuta.
-
Pokud potřebujete přístup k nějakým starým systémům, nejlepší možnost je předřadit jim reverzní proxy, která bude terminovat TLS a na druhou stranu bude komunikovat s původním serverem třeba dálnopisem. Pak je dobré ještě zajistit, aby ten původní server nebyl dostupný odkudkoli, ale jen z toho reverzního proxy serveru, a aby trasa mezi reverzním proxy serverem a původním serverem byla zabezpečená jinak, než přes to zastaralé TLS (třeba tak, že jsou oba servery v jedné serverovně propojené přímo kabelem nebo přes jeden switch a nejde ta komunikace přes půl světa).
Pokoušet se snižovat bezpečnost na straně prohlížeče není dobrý nápad.
-
Firefox už podporu TLS 1.0 a 1.1 dokonce vypnul 10. března 2020 ve verzi 74 (https://www.mozilla.org/en-US/firefox/74.0/releasenotes/). Kvůli pandemii ji ale zase dočasně zapnul (https://www.bleepingcomputer.com/news/security/firefox-reenables-insecure-tls-to-improve-access-to-covid19-info/), aby se uživatelé neměli problém dostat na weby s důležitými informacemi, které ještě nepodporují novější šifrovací protokoly. Je tedy jisté, že podpora starších TLS bude zase vypnuta.
To ja vim. Ten termin byl i docela jasne oznamen. Ale tady v pripade Chrome clovek ani nenajde info, ze doslo k tomu vypnuti, v release notes o tom neni ani slovo.
-
Pokud potřebujete přístup k nějakým starým systémům, nejlepší možnost je předřadit jim reverzní proxy, která bude terminovat TLS a na druhou stranu bude komunikovat s původním serverem třeba dálnopisem. Pak je dobré ještě zajistit, aby ten původní server nebyl dostupný odkudkoli, ale jen z toho reverzního proxy serveru, a aby trasa mezi reverzním proxy serverem a původním serverem byla zabezpečená jinak, než přes to zastaralé TLS (třeba tak, že jsou oba servery v jedné serverovně propojené přímo kabelem nebo přes jeden switch a nejde ta komunikace přes půl světa).
Pokoušet se snižovat bezpečnost na straně prohlížeče není dobrý nápad.
Jasne, predradim pred kazdy ILO/switch/hypervizor HW proxy. Kam na takoveto napady chodite?
-
Tak buď musíte dosáhnout toho, aby to koncové zařízení začalo fungovat s novými protokoly nebo s ním musíte komunikovat po těch protokolech, které umí. Pokud to zařízení nejde nějak upgradnout, musíte se přizpůsobit vy. Takže buď udržovat nějaký funkční prohlížeč a nebo mít něco mezi novým prohlížečem a starým koncovým zařízením. Ta proxy může být i na vašem počítači.
-
Tak dle https://support.google.com/chrome/a/answer/7679408?hl=en, resp. https://support.google.com/chrome/a/answer/7679408#noMoreTLS jiz nelze povolit starsi tls, takze tudy cesta nepovede.
-
Jasne, predradim pred kazdy ILO/switch/hypervizor HW proxy. Kam na takoveto napady chodite?
Když si libujete v nezabezpečené komunikaci, můžete mít jednu proxy na svém počítači. Kam vy chodíte na nápady přistupovat k ILO / administraci switche / hypervizoru děravým protokolem, to mne nezajímá, protože šílené nápady k ničemu nepotřebuju.
-
Jasne, predradim pred kazdy ILO/switch/hypervizor HW proxy. Kam na takoveto napady chodite?
Jak jsi tohle z jeho příspěvku vyčetl? Si pusť socat na tom stejném počítači co spouštíš to Chrome. Připojení k administraci jsi měl doufám nějak zabezpečené už předtím, protože ty díry tam byly neuvěřitelné, lhostejno jaké TLS to používalo -- některé serverovny přímo poskytují VPN přístup do sítě do které si můžeš management připojit, případně pokud máš víc serverů, tak je to jasné. Ostatně i pokud nemáš -- asi těžko budeš na managementy „plýtvat“ veřejnými adresami (a nepředpokládám že by to umělo IPv6, když to neumí 10 let staré TLS).
-
Vaše jednání je poněkud ohavné, kde se to ve vás bere?
Předně, rozhraní jako ILO a další management záležitosti se strkají do separátních VLAN.
Je běžné, že do takové VLANy má přístup jen pár (slovy: třeba dva) počítače z celé firmy. Bezpečnostní riziko cca 0.
Dále, tohle je naprosto validní požadavek, protože takových starých tentononců budou žít hromady příštích deset let.
A pokud jejich webovou správu uvězníte v separátních VLAN, ničemu to nebude vadit.
@TAZATEL
Doporučuji si nainstalovat historickou verzi prohlížeče, který budete používat čistě pro tyto účely. Nejlépe si sehnat celou portable instalaci. Inspirujte se prosím třeba zde: https://portableapps.com/apps/internet (https://portableapps.com/apps/internet)
-
Vaše jednání je poněkud ohavné, kde se to ve vás bere?
Ohavné? Já jsem popsal ideální řešení a czechsys se do mně akorát naváží, překrucuje to a žádné řešení nenabízí. To je ohavné.
Předně, rozhraní jako ILO a další management záležitosti se strkají do separátních VLAN.
Je běžné, že do takové VLANy má přístup jen pár (slovy: třeba dva) počítače z celé firmy. Bezpečnostní riziko cca 0.
A je opravdu tak velký problém do té VLANy přidat jeden proxy server? Jinak ono nejde jenom o to, kolik počítačů má do té VLANy přístup, ale také o to, kam jinam mají ty počítače přístup.
Podobné je to s jinými přístupy – pokud k administraci přistupujete přes VPN, můžete ten proxy server dát na nebo vedle VPN koncentrátoru.
Dále, tohle je naprosto validní požadavek, protože takových starých tentononců budou žít hromady příštích deset let.
A pokud jejich webovou správu uvězníte v separátních VLAN, ničemu to nebude vadit.
Je to validní požadavek a já jsem napsal jednoduché řešení takového požadavku. To „uvěznění“ v separátních VLAN samozřejmě neodstraní všechna rizika – v té separátní VLAN máte webový prohlížeč, který možná může i jinam, než do té VLAN. Máte tam spoustu neaktualizovaných zařízení.
Pokud té VLAN tolik věříte, tak přece můžete použít nešifrované HTTP – to prohlížeče podporují a (bohužel) ještě hodně dlouho podporovat budou.
Doporučuji si nainstalovat historickou verzi prohlížeče, který budete používat čistě pro tyto účely. Nejlépe si sehnat celou portable instalaci.
Jasně, vždyť administrace IT infrastruktury je něco nepodstatného, je super na to používat starý děravý software.
Já nevím, já administrační rozhraní považuju za něco, co je potřeba zabezpečit co nejlépe. Ne něco, co se pokusím zavřít do nějaké dřevěné ohrady a uvnitř pak budu na bezpečnost kašlat mnohem víc, než venku.
-
thisisunsafe
-
už před 3 roky jsme všude přešli na proxy server pro přístup k iLO, iDRAC a podobným admin interfacům, kde je běžné, že TLS certifikát je stejně navalidní, tj. vydaný na jinou doménu, dlouhá platnost či neznámá CA. Buď se používá klasická http MitM proxy s terminací TLS nebo častěji webová (citrix, cyberark nebo i novnc a podobné). VLAN není zabezpečení, protože může být napadnutý počítač administrátora (tohle není vyjímkou).
Osobně pak mám lokálně reverzní proxy, používám caddy, dříve jsem měl nginx, ale caddy má méně písmenek v konfiguraci. Výhoda je, že mohu pinovat TLS certifikát proti backendu a nastavit proxy pro každé jedno spojení.
-
Na jedne sluzbe u nas, bezici pry na Centos5, externi dodavatel udelal zasah, ktery zprovoznil tls1.2. Jakym zpusobem toho mohl dosahnout? Jedine, co mne napada, je pouziti jinych *ssl baliku pro system/sluzbu, nebo instalace/kompilace extra baliku s vlastnimi *ssl knihovnami.
Vi nekdo, ktera proxy/web server/*ssl lze nainstalovat bez kompilace, aby bylo mozno nasadit tls1.2 na dalsi sluzby? Staci mi to pro debian.
-
Vi nekdo, ktera proxy/web server/*ssl lze nainstalovat bez kompilace, aby bylo mozno nasadit tls1.2 na dalsi sluzby?
Kdybych to dělal já, tak asi první věc co zkusím je stáhnout si OpenWRT x86 toolchain a zkompilovat statický socat. OpenWRT protože používá musl-libc, se kterou se staticky linkuje veseleji než s glibc.
Dále, tohle je naprosto validní požadavek, protože takových starých tentononců budou žít hromady příštích deset let.
Je to validní požadavek pro software určený na administraci takových věcí. Není to validní požadavek pro software určený pro přístup k bance a na videohovory.
-
Vi nekdo, ktera proxy/web server/*ssl lze nainstalovat bez kompilace, aby bylo mozno nasadit tls1.2 na dalsi sluzby? Staci mi to pro debian.
Nginx (https://nginx.org), Caddy (https://caddyserver.com), Apache… Caddy má tu výhodu, že se dá konfigurovat přes REST API – takže pokud těch zařízení máte hodně a máte je někde evidovaná, můžete rovnou z té evidence zavolat API, které vám vytvoří příslušnou proxy. Caddy pak umí automaticky vystavovat certifikáty přes ACME (i přes DNS, takže server nemusí být dostupný z internetu), takže se to dá vše zautomatizovat a po přidání zařízení do interní evidence může automaticky vzniknout proxy i s důvěryhodným certifikátem.