TMG 2010 и SSL 3.0


При публикации вэб-ресурсов TMG создаёт HTTPS подключения от своего имени. Таким образом TMG сервер может стать слабым звеном при атаке с использованием уязвимости SSL3.0, и требуется отключить SSL на TMG серверах.

Несмотрю на ожидания подвоха, TMG всё же использует системный Crypto-API (Crypto subsystem). Точнее даже SCHANNEL. Поэтому для выключения поддержки SSL 3.0 достаточно использовать стандартное решение с добавлением ключей реестра Enabled = 0

SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server

SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client

Для настройки множества серверов используем Group Policy Preferences. (Серверы 2008 R2 требуют перезагрузки для применения параметров).

Для контроля используем сервис  Qualys SSL Labs

Полезные ссылки:

https://support.microsoft.com/en-au/kb/245030

Mitigating the POODLE SSL 3 Vulnerability on Forefront TMG 2010

 

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: