SECURITY

Create SAN CSR with certutil

Andres Bohren
Hallo zusammen, Wie man Certificate Signing Requests (CSR) mit Subject Alternative Names (SAN) mittels Openssl oder über Custom Request in der Zertifikatskonsole macht habe ich ja schon gebloggt. Heute zeige ich euch, wie man einen Zertifikatsrequest mit dem Komandozeilentool certreq erstellt. Als erstes muss eine “RequestPolicy.inf” Datei erstellt werden. Die sieht etwa so aus [NewRequest] FriendlyName = "fe2013.icewolf.ch" Subject = "CN=fe2013.icewolf.ch, O=Icewolf, OU=IT, S=BE, L=Bern, C=CH" ;Because SSL/TLS does not require a Subject name when a SAN extension is included, the certificate Subject name can be empty.

Is TLS Fast Yet?

Andres Bohren
Hallo zusammen, Ich bin gestern über das folgende Video gestolpert. Dabei wird erklärt, wie man die TLS Performance erhöhen kann und welche Einstellungen gemacht werden müssen, damit die Performance und Geschwindigkeit optimiert wird. Die Präsentation gibt es hier http://bit.ly/fastTLS Grüsse Andres Bohren

Security Advisory for Symantec Endpoint Protection v11,v12,v12.1

Andres Bohren
Hallo zusammen, Für Symantec Endpoint Protection (SEP) existiert ein client buffer overflow exploit. Deshalb hat Symantec für SEP 11, 12 und 12.1 ein entsprechendes Security Advisory veröffentlicht. Es wird empfohlen auf die Version 12.1 RU4 MP1b zu aktualisieren. http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2014&suid=20140804_00 Update Symantec Endpoint Manager Zuerst muss der Symantec Endpint Manager (SEPM) aktualisiert werden. Aktualisierung Danach muss man den Symantec Endpoint Manager starten um die Aktualisierung abzuschliessen. Um den aktualisierten Client zu verteilen, muss man den aktuellen Install Package entfernen und durch das neue ersetzen.

SPF RR is deprecated - use TXT RR only

Andres Bohren
Hallo zusammen, Einer meiner Kollegen hat mich kürzlich auf den folgenden Link bezüglich SPF aufmerksam gemacht. An dieser Stelle ein herzliches Dankeschön an Claudius!!!. http://www.zytrax.com/books/dns/ch9/spf.html Darin wird beschrieben, dass das aktuelle RFC zu SPF (http://tools.ietf.org/html/rfc7208) den DNS Ressource Record vom Typ "SPF" nicht mehr erwähnt wird und somit "deprecated" (überholt) ist. Im alten SPF zu RFC (http://tools.ietf.org/html/rfc4408) ist dieser Eintrag noch erwähnt worden. Zu meiner Schande muss ich gestehen, dass ich diesen DNS Ressouce Record gar nicht gekannt habe.

TMG 2010 SP2 Updaterollup 5

Andres Bohren
Hallo zusammen, Kürzlich wurde das Updaterollup 5 für TMG 2010 SP2 veröffentlicht. Updaterollup 5 für Forefront Threat Management Gateway 2010 Servicepack 2 http://support.microsoft.com/kb/2954173 TMG 2010 SP2 Updaterollup 5 - Hotfix Download http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2954173&kbln=en-us Grüsse Andres Bohren

Nmap installation

Andres Bohren
Hallo zusammen, Ich habe mir den Portscanner NMAP installiert. Das ist ein sehr gewaltiges Tool und ist vielfältig einsetzbar. Download: http://nmap.org/download.html Der folgende Befehl macht einen Portscan der Top 25 Ports. Man sieht auch gleich welche Version eingesetzt wird. nmap -sV --reason -PN -n --top-ports 25 icesrv01.corp.icewolf.ch Mit dem folgenden Befehl, wird das Zertifikat und die Verschlüsselungssuiten an. nmap --script ssl-cert,ssl-enum-ciphers -p 25,587,993,995 icesrv01.corp.icewolf.ch Grüsse Andres Bohren

TLS Basics and Hardening

Andres Bohren
Hallo zusammen, In den letzten Tagen habe ich mich etwas mit Transport Layer Security (kurz TLS) auseinandergesetzt. Hierzu muss man erst einmal ein bisschen die Begriffe SSL und TLS entwirren. SSL ist der alte Begriff und sollte nicht mehr verwendet werden. http://de.wikipedia.org/wiki/Transport_Layer_Security Geschichte Version Beschreibung Jahr SSL v1 von Netscape erfunden 1994 SSL v2 von Netscape weiterentwickelt - gilt als unsicher 1994 PCT 1.0 Private Communication Technology war die SSL Implementation von Microsoft 1995 SSL v3 wurde später grösstenteils als TLS v1 übernommen 1996 TLS v1 http://tools.

How to view and decode a CSR

Andres Bohren
Hallo zusammen, Kürzlich habe ich mich gefragt, wie man denn einen Certificate Signing Request (CSR) prüfen kann, bevor man dafür ein Zertifikat ausstellt. Beispielsweise ob wirklich ein FQDN beim CN verwendet wurde oder ob die Organization korrekt eingetragen wurde. Ich habe zwei Möglichkeiten entdeckt. Die eine ist mit openssl und die andere mit Online CSR Decodern. openssl Um einen CSR mit openssl anzuzeigen muss man den folgenden Befehl benutzen openssl req -text -in file.

Improving SSL Security on TMG 2010

Andres Bohren
Hallo zusammen, Kürzlich habe ich meinen voll gepatchten TMG 2010 welcher auf Windows 2008 R2 läuft mit dem Online SSL Test geprüft. Das Resultat war ziemlich ernüchternd. https://www.ssllabs.com/ssltest/ Dann habe ich die Tipps von isaserver.org umgesetzt. SSL 2.0 deaktivieren mit dem folgenden Registry Key [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client] "DisabledByDefault"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server] "Enabled"=dword:00000000 SSL Renegotiation anpassen [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL] "AllowInsecureRenegoClients"=dword:00000000 "DisableRenegoOnServer"=dword:00000001 TLS 1.1 und TLS 1.2 aktivieren [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]

Symantec Endpoint Protection 12.1 RU4a

Andres Bohren
Hallo zusammen, Kürzlich wurden von Symantec Security Advisories zu Symantec Endpoint Protection Manager herausgegeben. Folgende Versionen sind anfällig: Symantec Endpoint Protection Manager 11.0 RTM to 11.0 RU7 MP4 Symantec Endpoint Protection Manager 12.0.x Symantec Endpoint Protection Manager 12.1 RTM to 12.1 RU4 Security Advisories Relating to Symantec Products - Symantec Endpoint Protection Manager Vulnerabilities http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20140213_00 SYM14-004 Symantec Endpoint Protection Management Vulnerabilities http://www.symantec.com/business/support/index?page=content&id=TECH214866 Installation Die aktuelle Version kann über Fileconnect heruntergeladen werden.