\nSeit einigen Tagen (theoretisch ja schon seit laengerer Zeit) kursieren Geruechte, das im Internet fast ausschliesslich verwendete SSL 3.0 \/\u00a0 TLS 1.0 Protokoll zu \u201eHacken\u201c. Jetzt ist es wohl das erste mal ernster geworden:
\nQuelle: TLS 1.0 (SSL Cookies) Hacking in 10 Minuten:
\nhttp:\/\/www.heise.de\/newsticker\/meldung\/Tool-soll-SSL-Cookies-in-zehn-Minuten-knacken-1346257.html<\/a>
\nWeitere Informationen zur „block-wise chosen-plaintext Attacke“:
\nhttp:\/\/citeseerx.ist.psu.edu\/viewdoc\/download?doi=10.1.1.61.5887&rep=rep1&type=pdf<\/a><\/p>\n
Auf diese Meldungen erreichten uns auch einige Kundenanfragen, wie mit der Problematik grundsaetzlich im Bereich Forefront TMG umzugehen sei. Ob TMG nun die hoeheren TLS-Versionen beherrscht und falls ja ob man diese auch einstellen soll. Dazu einen allgemeinen Ueberblick der Cipher Suiten in Forefront TMG: Webseiten, welche TLS 1.1 oder hoeher unterstuetzen: Wie man die Cipher Suiten in Windows einstellt: Nach diesen zahlreichen Informationen ueber die generelle Funktionsweise, die Frage, wie kann man sich mit Forefront TMG gegen moegliche zukuenftige Exploits schuetzen?: Die Loesung?:<\/p>\n Da die Crypto Funktionen alle ueber die CAPI (Crypto API – Schannel) von Windows gehandelt werden, durchlaufen alle Verschluesselungs-Operationen das Crypto Subsystem von Windows. Somit bedient sich auch Forefront TMG dieser Funktionen und kann per Regkey oder GPO so konfiguriert werden, dass nur bestimmte Cipher Suites akzeptiert werden. TLS 1.0 kann auf diese Weise komplett deaktiviert werden. Das Hauptproblem werden allerdings die Anwendungen und Browser sein, welche keine Verbindung mehr mit einem Webserver\/Weblistener aufbauen koennen, wenn ein Server nur noch TLS 1.1 oder hoeher unterstuetzt. Die potentielle Gefaehrdung des TLS 1.0 Protokolls durch Exploits steht somit im Gegensatz zu den Clienteinstellungen der jeweiligen zugreifenden Systeme. Wie man die Cipher Suites per Gruppenrichtlinie einstellen kann:<\/p>\n Deaktivieren einiger Cipher Suites per Registrierungseditor: Wie kann man sich noch schuetzen, au\u00dfer TLS 1.1 oder hoeher am Webserver einzustellen:
\nhttps:\/\/www.carbonwind.net\/blog\/post\/SSLTLS-usage-within-Forefront-TMG-2010.aspx<\/a><\/p>\n
\nhttp:\/\/blog.ivanristic.com\/2011\/09\/ssl-survey-protocol-support.html<\/a><\/p>\n
\n\u201eAlte\u201c OS: http:\/\/support.microsoft.com\/kb\/245030\/en-us<\/a>
\n\u201eNeue\u201c OS: http:\/\/technet.microsoft.com\/en-us\/library\/cc766285(WS.10).aspx<\/a><\/p>\n
\nDas Publishen interner Ressourcen via Forefront TMG (Exchange-Webclients, MOSS, Dynamics) kann in bestimmten Umgebungen sicherlich durch Administratoren gesteuert werden, so es sich um Corporate-Clients handelt. Schwieriger koennte aber z.B. der Bereich \u201ePushmail\u201c mit einem Wildwuchs von Endgeraeten (Smartphones) darstellen.
\nF\u00fcr die Umstellung auf hoehere TLS-Versionen werden keine neuen Zertifikate ben\u00f6tigt. Ebenfalls sind keine CNG (Cryptograhic Next Generation)-Zertifikate erforderlich, die aber momentan eh nicht von Forefront TMG unterstuetzt werden: Quelle: http:\/\/technet.microsoft.com\/de-de\/library\/ee796231.aspx<\/a><\/p>\n![\"\"](\"http:\/\/www.it-training-grote.de\/blog\/wp-content\/Cipher1-150x150.png\" "\\"Cipher\\"")
<\/a><\/p>\n
\nhttp:\/\/support.microsoft.com\/kb\/187498<\/a><\/p>\n
\nhttp:\/\/www.heise.de\/ct\/meldung\/Erste-Loesungen-fuer-SSL-TLS-Schwachstelle-1349687.html<\/a>
\n(Hinweis: RC4 einsetzen)<\/p>\n![\"Smiley\"](\"https:\/\/blog.forefront-tmg.de\/wp-content\/uploads\/2011\/09\/wlEmoticon-smile.png\")
<\/p>\n