RC4 - nein Danke

Inhaltsverzeichnis
  1. NoSpamProxy
  2. Windows
  3. Weitere Links

Wenn die IETF, die normalerweise sehr vornehm zurückhaltend formuliert, einen „Request für Comments“ mit „Prohibiting RC4 Cipher Suites“ überschreibt, dann müssen die Probleme schon drastisch sein und es wird höchste Zeit zu handeln.

Natürlich bieten die meisten Tools, die Verschlüsselung nutzen, verschiedene (bessere) Verschlüsselungsstandards an. Aber die Konfiguration der alternativen Cipher Suiten ist entweder gar nicht möglich oder häufig nur in den „Erweiterten“ Optionen tief im Menü versteckt. Des weiteren ist RC4 häufig immer noch die Standardkonfiguration oder die bevorzugte Verschlüsselungsmethode. Checken Sie die aktuelle Einstellung noch heute und ändern sie besser heute noch. Mir geht es zumindest so, dass ich nach einigen Tagen entweder nicht mehr daran denke oder auch wenn ich mal im entsprechenden Konfigurationspunkt vorbeischaue, keinen Hinweis darauf bekomme, dass etwas nicht stimmt oder welche Einstellung ich ändern sollte.

NoSpamProxy

 Da ich mit der Idee des NoSpamProxy schon seit langem Gateway-Lösungen propagiere, um Richtlinien zu E-Mail-Kommunikation und Sicherheit zentral einfach administrieren zu können, macht der NoSpamProxy das schon seit vielen Monaten (ca. Mitte 2013) vorbildlich, indem der Admin unter „Best-Practices-Einstellungen“ eine Standard-Konfiguration angeboten bekommt, die nicht mehr RC4 verwendet und er mit einem Mausklick eine sichere und aktuellen Empfehlungen entsprechende Konfiguration einstellt. Die kann er dann ja je nach eigenen Erfordernissen anpassen.

Mehr über NoSpamProxy und die Möglichkeit zu testen gibt es aus www.nospamproxy.de. Siehe auch mein Disclaimer zu NoSpamProxy auf MSXFAQ.DE:Anti-Spam.

Windows

NoSpamProxy bedient sich als "Windows Software" einfach dem Windows TLS-Funktionen und schaltet dort die nicht erwünschten RC4-Cipher einfach ab. Da sie sicher nicht auf jedem Windows PC auch gleich NoSpamProxy installieren wollen, gibt es natürlich andere Optionen diese Einstellungen durchzuführen.

Auf einzelnen Servern, die per SSL gesichert über unsichere Verbindungen erreicht werden sollen, bietet sich die Freeware von Nartac an

Per GUI kann hier einfach ausgewählt, werden, welche Cipher-Suites nicht mehr aktiviert sein sollen. für einen breiten Einsatz in Firmen natürlich der Einsatz von Gruppenrichtlinien oder einer Softwareverteilung der bessere Weg.

Weitere Links