Herding av TLS på Windows

Publisert: 16.03.2015

Sårbarheter som The Freak Attack viser hvor viktig det er å herde Transport Layer Security (TLS). I den nye NSM veiledningen U-03 Sikring av Windows TLS er herding av TLS på Windows systemer tema.

Veiledningen presenteres på Sikkerhetskonferansen 2015 på onsdag 18. mars kl. 10 i foredraget «Bedre kryptering av web-trafikk og e-post (TLS)».

TLS brukes for sikre kommunikasjon som går over åpne nettverk, som for eksempel internett. Ved bruk av TLS kan vi autentisere partene som kommuniserer og beskytte konfidensialiteten og integriteten til dataene som utveksles. TLS kan anvendes til å beskytte alt fra banktransaksjoner til bruk av sosiale medier.

Målgruppen for veiledningen er personell som administrerer ugraderte Windows systemer i offentlig forvaltning. Relevante Windows-versjoner er Windows 7, Windows Server 2008 R2 og senere versjoner.

Formålet med veiledningen er å gi anbefalinger om hvilke TLS-protokoller og kryptografiske algoritmer som bør brukes av Microsoft sin implementasjon av TLS, også kjent som Secure Channel (Schannel).

NSM anbefaler bruk av TLS-protokollene (TLS 1.2, TLS 1.1 og TLS 1.0). Når det kommer til kryptografiske algoritmer, anbefaler NSM blant annet bruk av SHA-2, AES med GCM (Galois/Counter Mode) og algoritmer som gir Perfect Forward Secrecy.

NSM fraråder bruk av SSL-protokollene (SSL 2.0 og SSL 3.0). Av kryptografiske algoritmer, fraråder NSM blant annet bruk av RC4, DES og MD5. Disse protokollene og algoritmene har store sikkerhetsmessige svakheter.

NSM gjør oppmerksom på at noe tredjepart-programvare bruker andre TLS-implementasjoner enn Schannel. Dette gjelder for eksempel Java RunTime, Google Chrome, Mozilla Firefox og Opera. Sikkerheten i slik programvare blir derfor ikke endret ved bruk av NSMs anbefalinger.

Med veiledningen følger eksempler på konfigurasjonsfiler som velger de anbefalte TLS-protokollene og kryptografiske algoritmene for Windows 7, Windows Server 2008 R2 og senere versjoner.

NSM anbefaler at Schannel herdes på både klient- og server-siden, men valgte konfigurasjon bør prøves ut i test- og referanseanlegg før den implementeres i produksjonsmiljøer.

comments powered by Disqus