Auteur Topic: Onveilig cipher suite IDEA-CBC-SHA  (gelezen 1517 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Onveilig cipher suite IDEA-CBC-SHA
« Gepost op: 20 juli 2018, 14:35:48 »
Sinds 2017 wordt de cijfer suite "IDEA-CBC-SHA" als onbetrouwbaar beschouwd.  Ik deed gisteren een test met "internet.nl" om mijn mailinstellingen te controleren en daar kwam dit als kwetsbaarheid uit. (In het veld e-mail adres hoef je alleen de hostnaam in te vullen, niet het volledige adres)

In de config file van Postfix kun je deze suite uitsluiten van gebruik. Verander de twee regels ergens op het einde:
smtpd_tls_mandatory_exclude_ciphers = aNULL, RC4
smtpd_tls_exclude_ciphers = aNULL, RC4
in
smtpd_tls_mandatory_exclude_ciphers = aNULL, RC4, IDEA-CBC-SHA
smtpd_tls_exclude_ciphers = aNULL, RC4, IDEA-CBC-SHA

Vóór de aanpassing vond ik in het log:

"2018-07-18T12:40:13+02:00 GedeeldeData postfix/smtpd[23426]: Anonymous TLS connection established from internet.nl[185.49.141.28]: TLSv1.2 with cipher IDEA-CBC-SHA (128/128 bits)"

Dit was veroorzaakt door de test. Dit was ook de enige keer dat deze suite gebruikt was, dus je kunt die cipher echt wel missen.

De config staat in: /volume1/@appstore/MailServer/etc/main.cf

En herstarten doe je met:

"sudo /var/packages/MailServer/target/scripts/PostfixDaemon.sh restart"

En verander voor de zekerheid ook:
"/volume1/@appstore/MailServer/etc/template/main.template" (Ik denk dat dit de template is, maar ben nog niet 100% zeker)

Na de aanpassing ziet de testsite dit niet meer als onbetrouwbaar.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Onveilig cipher suite IDEA-CBC-SHA
« Reactie #1 Gepost op: 23 juli 2018, 10:47:40 »
Ik zat afgelopen weekend in mijn logbestanden te bladeren en vond volgende entries:

2017-10-08T11:46:43+02:00 postfix/smtpd[24708]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
2017-10-08T11:46:44+02:00 postfix/smtpd[24708]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
2017-10-08T11:46:44+02:00 postfix/smtpd[24753]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
2017-10-08T11:46:45+02:00 postfix/smtpd[25062]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DHE-RSA-CAMELLIA256-SHA (256/256 bits)
2017-10-08T11:46:45+02:00 postfix/smtpd[25108]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher CAMELLIA256-SHA (256/256 bits)
2017-10-08T11:46:45+02:00 postfix/smtpd[25148]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher AES256-SHA (256/256 bits)
2017-10-08T11:46:46+02:00 postfix/smtpd[25353]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher ECDHE-RSA-AES128-SHA (128/128 bits)
2017-10-08T11:46:46+02:00 postfix/smtpd[25062]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DHE-RSA-AES128-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[25725]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DHE-RSA-SEED-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[24689]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DHE-RSA-CAMELLIA128-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[25108]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher AES128-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[25462]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher CAMELLIA128-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[24717]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher IDEA-CBC-SHA (128/128 bits)
2017-10-08T11:46:47+02:00 postfix/smtpd[24965]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher SEED-SHA (128/128 bits)
2017-10-08T11:46:48+02:00 postfix/smtpd[25353]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher ECDHE-RSA-DES-CBC3-SHA (112/168 bits)
2017-10-08T11:46:48+02:00 postfix/smtpd[25870]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher EDH-RSA-DES-CBC3-SHA (112/168 bits)
2017-10-08T11:46:48+02:00 postfix/smtpd[24866]: Anonymous TLS connection established from unknown[217.182.141.208]: TLSv1.1 with cipher DES-CBC3-SHA (112/168 bits)

Daar heeft iemand zitten testen welke ciphers de mailserver ondersteunt. Getoond alleen de TLSv1.1 connections, maar hij heeft het ook met TLS.1.0 en TLSv1.2 getest

Als ik op "TLSv1.1" zoek, vind ik niet een serieuze connecie die ook daadwerkelijk mail aflevert. Alle serieuze verbindingen worden met TLSv1.2 opgezet. Er is alleen nog één nieuwsbrief die door megamail.nl afgeleverd wordt en TLSv1.0 gebruikt. Ook één van mijn oudere mac's die nog El Capitan als OS heeft, gebruikt TLSv1.0 om mail te versturen.

In de config file kun je TLS protocollen uitsluiten. Alls SSL protocollen zijn al uitgesloten in de config. TSLv1.0 zal ik toch maar aan laten.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

D-Link IP Cameras onveilig

Gestart door BrioletBoard Surveillance Station

Reacties: 2
Gelezen: 2638
Laatste bericht 01 mei 2013, 17:31:29
door Briolet
Let's encrypt certificaat onveilig

Gestart door SylvesterBoard Synology DSM algemeen

Reacties: 5
Gelezen: 2434
Laatste bericht 03 december 2018, 13:15:33
door Briolet
Firefox 51 geeft een http inlog als onveilig aan.

Gestart door BrioletBoard The lounge

Reacties: 5
Gelezen: 2166
Laatste bericht 31 maart 2018, 21:50:40
door Briolet
certificaat onveilig

Gestart door zjwaemkeBoard Synology DSM 5.1 en eerder

Reacties: 4
Gelezen: 1922
Laatste bericht 24 september 2014, 21:50:29
door Birdy
SSL certificaat nog steeds als onveilig weergegeven

Gestart door stefrBoard Synology DSM 6.0

Reacties: 14
Gelezen: 6282
Laatste bericht 25 februari 2017, 12:58:40
door Babylonia