Entdeckte Sicherheitslücken und Ihre Lösungen

Nach der NSA Affaire mit Snowden ist ein großer Wirbel entstanden, welches die Entwicklung in Sicherheit vor unerlaubten ausspionieren massive voran treibt.

Selbst die Bundesregierung ist nicht vor Angriffen Geschütz, gibt es überhaupt einen 100% Schutz?
Diese ist eine kleine Anleitung welche nicht Standard mäßig aktive ist.
Die meisten Weltweiten Webservern sind nicht bzw. nur ausreichend geschützt, wir gehen hier mal auf das Thema SSL Verschlüsselung ein welches zurzeit ein sehr wichtiges Thema ist.

Wenn Sie Ihre Webseite mit einen https ausstatten möchten ohne Lästige Warnungen vom Browser zu bekommen benötigen Sie einen SSL Zertifikat das von Zertifizierten Stellen ausgegeben wird.
Eine eigene IP Adresse ist hier auch Pflicht um ein Webseite mit einem https auszustatten.

Google bewertet Webseiten mit https höher als ohne und wenn diese auch noch Mobil fähig sind dann noch höher.

Wir sichern unsere Apache Webserver im Bereich SSL und Deaktivieren den SSLv2 und SSLv3 Support

/etc/apache2/mods-enabled/ssl.conf

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA256:!DHE-RSA-CAMELLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA

Neustarten von Apache

service apache2 reload

Hier könnt Ihr Prüfen ob eurer Server mit SSL abgesichert ist https://www.ssllabs.com/ssltest/index.html

Postfix Absicherung /etc/postfix/main.cf

smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA

Neustarten von Postfix

postfix reload

Dovecot Absicherung

ssl_cipher_list=ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
ssl_prefer_server_ciphers = yes (Dovecot 2.2.6 oder höher)

Neustarten von Dovcot

doveadm reload

Eure Dienste sind damit um einiges sicherer, alle unsere Server die wir betreuen Webhosting , Reseller Server usw. sind bereits abgesichert. Natürlich auch die Server wo wir einen Wartungsvertrag haben. Alle Server werden Regelmäßig auf den neusten Stand gebracht

Titel