Registro de novos usuários desabilitado por tempo indeterminado.
O Fórum irá passar por mudanças nos próximos meses começando pela inativação de usuários que não participam ou contribuem com conteúdo.

Acompanhe em https://www.facebook.com/groups/endian.firewall/

[Nessus] SSL RC4 Cipher Suites Supported (Bar Mitzvah)

A segurança da informação está relacionada com proteção de um conjunto de informações, no sentido de preservar o valor que possuem para um indivíduo ou uma organização. São características básicas da segurança da informação os atributos de confidencialidade, integridade, disponibilidade e autenticidade, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. O conceito se aplica a todos os aspectos de proteção de informações e dados. O conceito de Segurança Informática ou Segurança de Computadores está intimamente relacionado com o de Segurança da Informação, incluindo não apenas a segurança dos dados/informação, mas também a dos sistemas em si.
Atualmente o conceito de Segurança da Informação está padronizado pela norma ISO/IEC 17799:2005, influenciada pelo padrão inglês (British Standard) BS 7799. A série de normas ISO/IEC 27000 foram reservadas para tratar de padrões de Segurança da Informação, incluindo a complementação ao trabalho original do padrão inglês. A ISO/IEC 27002:2005 continua sendo considerada formalmente como 17799:2005 para fins históricos.

Avatar do usuário
marceloleaes
Administrator
Administrator
Mensagens: 1407
Registrado em: 10 Jun 2013 12:45
Localização: Novo Hamburgo
Sexo: Masculino - Masculino
Idade: 35
Contato:
Status: Offline

[Nessus] SSL RC4 Cipher Suites Supported (Bar Mitzvah)

Mensagem por marceloleaes » 11 Mar 2016 11:04

Description

The remote host supports the use of RC4 in one or more cipher suites.
The RC4 cipher is flawed in its generation of a pseudo-random stream of bytes so that a wide variety
of small biases are introduced into the stream, decreasing its randomness.
If plaintext is repeatedly encrypted (e.g., HTTP cookies), and an attacker is able to obtain many
(i.e., tens of millions) ciphertexts, the attacker may be able to derive the plaintext.

Solution

Reconfigure the affected application, if possible, to avoid use of RC4 ciphers. Consider using TLS 1.2
with AES-GCM suites subject to browser and web server support.

Solução SecurityCenter:

/opt/sc4/support/conf/sslciphers.conf
# SSL Ciphers
# Antigo
# SSLCipherSuite DES-CBC3-MD5:RC2-CBC-MD5:RC4-MD5:DES-CBC3-SHA:RC4-MD5:RC4-SHA:DES-CBC3-SHA:AES128-SHA:AES256-SHA:RC4-MD5:RC4-SHA
# Novo
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
SSLProtocol -All +TLSv1

Código: Selecionar todos

/etc/init.d/SecurityCenter restart
Solução Apache:

/etc/httpd/conf/ssl.conf
# SSL Ciphers
# Antigo
# SSLCipherSuite DES-CBC3-MD5:RC2-CBC-MD5:RC4-MD5:DES-CBC3-SHA:RC4-MD5:RC4-SHA:DES-CBC3-SHA:AES128-SHA:AES256-SHA:RC4-MD5:RC4-SHA
# Novo
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
SSLProtocol -All +TLSv1

Código: Selecionar todos

service httpd restart
Editado pela última vez por marceloleaes em 11 Mar 2016 11:25, em um total de 1 vez.


"Transportai um punhado de terra todos os dias e fareis uma montanha." Confúcio

Responder

Voltar para “Segurança da Informação”

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 1 visitante