Zum Abschluss der "Erste Hilfe" Serie über die Poodle Lücke (Windows Server, Apache, Postfix und Nginx) möchte ich kurz zeigen, wie sich das unsichere SSL 3.0 Protokoll in den bekannten Browsern abschalten lässt. Unbedingt nötig ist das nicht, da zum Beispiel Chrome und Firefox in den kommenden Versionen SSLv3 von Haus aus abschalten werden. Dennoch eine kleine Anleitung, soll ja Nutzer geben, die weiterhin ältere Browser nutzen:
Poodle - SSL 3.0 im Internet Explorer deaktivieren
Microsoft bietet seit kurzem eine FixIt Tool (Download) an, welches das unsicherere SSL Protokoll abschaltet. Das Tool ist nicht unbedingt notwendig, da mit wenigen Hangriffen die notwendige Einstellung selbst vorgenommen werden kann:
Internet Explorer öffnen
Einstellungen anzeigen (alt+X)
Internetoptionen
Reiter "Erweitert" anklicken
Den Haken bei "SSL 3.0 verwenden" entfernen
Poodle - SSL 3.0 im Firefox abschalten
Mozilla wird das Protokoll, wie schon erwähnt in der kommenden Version des Browsers deaktivieren. Wer dem zuvor kommen möchte, der muss folgendes einstellen:
"about:config" in die Adresszeile eingeben
Den Schlüssel "security.tls.version.min" suchen
Der vorhanden Wert muss auch "1" geändert werden.
Poodle - SSL3 in Chrome deaktivieren
Auch Chrome wir in der neuen Version kein SSL 3 mehr unterstützen. Für den Moment genügt es die Verknüpfung mit einem zusätzlichen Schlüssel zu versehen.
Rechtsklick auf die Chrome Verknüpfung
Eigenschaften auswählen
Im Reiter Verknüpfung unter Ziel am Ende den Wert "--ssl-version-min=tls1" anhängen
Die letzten Tage hatte ich einen Artikel auf dem Blog, der sich mit dem Abschalten des SSL 3.0 Protokolls auf Apache, Nginx oder Postfix Servern beschäftigte.
Was bei diesen linuxbasierten Servern natürlich komplett fehlte, waren Windows Systeme.
Auch auf einem IIS Server lässt sich SSLv3 recht einfach abschalten.
SSL3 auf Windows Servern deaktivieren
Wie von anderen Problemen von Windows Systemen bekannt lassen sich diese meist über die Registry "regedit.exe" lösen. So ist das auch mit der aktuellen Poodle Lücke.
Es genügt zwei Werte in den Sicherheitseinstellungen der Registry zu setzen und schon, einen Neustart vorausgesetzt, ist SSL 3.0 nicht mehr aktiv.
Seit Skype Version 6.1 unterstützt der Messenger die Integration in Outlook. So kann jeder Outlook Nutzer direkt im Programm sehen, welcher seiner Kontakte online ist und ihn gegebenenfalls anrufen. Nicht jeder verwendet Outlook und Skype zusammen, darum kann es notwendig sein, diese Integration abzuschalten.
Dafür müssen in Outlook unter "Datei\Optionen\Kontakte" zwei Optionen deaktiviert werden. Die erste bezieht sich auf "Onlinestatus neben dem Namen anzeigen" und die zweite "Benutzerfotos anzeigen wenn verfügbar" ermöglicht das Einblenden des Profilbildes. Werden beide Haken entfernt erscheint Outlook wieder im gewohnten Look.
Skype zählt bekanntermaßen zu den meist genutzten Messengern. In den Standardeinstellungen loggt das Programm alles mit, was ihr im Betrieb eingebt. Diese Logdaten werden in Windows 7 unter "C:\Users\Benutzername\AppData\Roaming\Skype\SkypeName" abgelegt. Da die Chatprotkolle im *.dat Format vorliegen, ist es sinnvoll externe Tools zum Auslesen zu verwenden.
Skype Log View
Mit dem Skype Log Viewer könnt ihr in wenigen Sekunden eure vollständigen Logfiles einsehen. Das Tool muss nicht installiert werden und findet üblicherweise das Verzeichnisse mit den abgelegten Mitschnitten automatisch.
Das Tool bietet nicht nur einen Überblick, sondern erlaubt es komfortabel in den eigenen Logs zu suchen und erstellt bei Bedarf einen HTML Bericht.
Soll erst gar kein Protokoll angelegt werden, muss der Mitschnitt explizit deaktiviert werden. Dazu müssen in Skype unter "Aktionen\Optionen\Chat & SMS\Chat Einstellungen" die "erweiterten Optionen" aufgerufen werden. Dort besteht die Möglichkeit das Protokoll komplett zu löschen oder es erst gar nicht speichern zu lassen.
Wenn auf dem eigenen Rechner eine virtuelle Maschine läuft und ein Netzwerk über eine "Host only" Verbindung aufgerufen werden soll, muss der IP Adressbereich des virtuellen Servers mit dem des lokalen Rechner übereinstimmen.
Der VMware Player installiert automatisch zwei virtuelle Netzwerkschnittstellen (VMware Network Adapter VMnet1 und VMware Network Adapter VMnet8) wobei erstere (VMnet1) für DHCP geeignet ist und (VMnet8) für NAT Dienste.
Beide Services werden zusätzlich als Windows Dienste hinterlegt und können bei Bedarf in der Windows Systemverwaltung abgeschaltet werden.
Es kann jedoch vorkommen, dass der DHCP Dienst der ersten Netzwerkkarte benötigt wird, aber ein genauer Adressbereich bedient werden muss. Mit wenigen Eingriffen kann dieser IP Bereich neu definiert werden.
Im ersten Schritt muss dazu mit "regedit.exe" die Registry geöffnet und ein Schlüssel angepasst werden.
Virtuellen DHCP Adressbereich anpassen
Nach öffnen der Registry navigiert man zuerst zu folgendem Schlüssel
Wie zu erkennen ist setzt sich die IP Adresse auf hexadezimalen Werten zusammen. Diese können einfach über den windowseigenen Taschenrechner im wissenschaftlichen Modus errechnet werden (zwischen Dezimal und Hex hin und her schalten). So steht in unserem Beispiel der Wert 0 x 0328a8c0 für (Achtung Rückwärts lesen):
c0 = 192
a8 = 168
28 = 40
03 = 3
192.168.40.3
Zur Übung ein weiteres Beispiel der Wert 0 x 01dea8c0 steht für
c0 = 192
a8 = 168
de = 222
01 = 1
192.168.222.1
Nachdem die gewünschte Adresse definiert wurde nun der schwere Teil erledigt ist, muss unter Windows noch folgende Datei angepasst werden "C:\ProgramData\VMware\vmnetdhcp.conf". Dort müssen die Netzwerkeinstellungen mit denen der Registry übereinstimmen. Wie im Beispiel kümmern wir uns hier nur um VMnet1.
