src/practical_settings.tex

   1 \section{Recommendations on practical settings}
   2
   3
   4 \subsection{Webservers}
   5
   6 \subsubsection{Apache}
   7
   8
   9
  10 %-All +TLSv1.1 +TLSv1.2
  11 \begin{lstlisting}[breaklines]
  12   SSLProtocol All -SSLv2 -SSLv3
  13   SSLHonorCipherOrder On
  14   SSLCompression off
  15   # Add six earth month HSTS header for all users...
  16   Header add Strict-Transport-Security "max-age=15768000"
  17   # If you want to protect all subdomains, use the following header
  18   # ALL subdomains HAVE TO support https if you use this!
  19   # Strict-Transport-Security: max-age=15768000 ; includeSubDomains
  20
  21   SSLCipherSuite 'EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EDH+CAMELLIA256:EECDH:EDH+aRSA:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED:!AES128:!CAMELLIA128:!ECDSA:AES256-SHA'
  22 \end{lstlisting}
  23
  24 Note again, that any cipher suite starting with ECDHE  can be omitted in case of doubt.
  25 %% XXX NOTE TO SELF: remove from future automatically generated lists!
  26
  27 You should redirect everything to httpS:// if possible. In Apache you can do this with the following setting inside of a VirtualHost environment:
  28
  29 \begin{lstlisting}[breaklines]
  30   <VirtualHost *:80>
  31    #...
  32    RewriteEngine On
  33         RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R=permanent]
  34    #...
  35   </VirtualHost>
  36 \end{lstlisting}
  37
  38 %XXXX   ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS
  39
  40
  41 \subsubsection{lighttpd}
  42
  43
  44
  45 %% Note: need to be checked / reviewed
  46
  47 %% Complete ssl.cipher-list with same algo than Apache
  48 \todo{FIXME: this string seems to be wrongly formatted}
  49
  50 \begin{lstlisting}[breaklines]
  51   $SERVER["socket"] == "0.0.0.0:443" {
  52     ssl.engine  = "enable"
  53     ssl.use-sslv2 = "disable"
  54     ssl.use-sslv3 = "disable"
  55     ssl.use-compression = "disable"
  56     ssl.pemfile = "/etc/lighttpd/server.pem"
  57     ssl.cipher-list = 'EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EDH+CAMELLIA256:EECDH:EDH+aRSA:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED:!AES128:!CAMELLIA128:!ECDSA:AES256-SHA'
  58     ssl.honor-cipher-order = "enable"
  59     setenv.add-response-header  = ( "Strict-Transport-Security" => "max-age=31536000")
  60   }
  61 \end{lstlisting}
  62
  63 As for any other webserver, you should redirect automatically http traffic toward httpS:\footnote{That proposed configuration is directly coming from lighttpd documentation: \url{http://redmine.lighttpd.net/projects/1/wiki/HowToRedirectHttpToHttps}}
  64
  65 \begin{lstlisting}[breaklines]
  66   $HTTP["scheme"] == "http" {
  67     # capture vhost name with regex conditiona -> %0 in redirect pattern
  68     # must be the most inner block to the redirect rule
  69     $HTTP["host"] =~ ".*" {
  70         url.redirect = (".*" => "https://%0$0")
  71     }
  72   }
  73 \end{lstlisting}
  74
  75 \subsubsection{nginx}
  76
  77
  78
  79 \begin{lstlisting}[breaklines]
  80   ssl_prefer_server_ciphers on;
  81   ssl_protocols -SSLv2 -SSLv3;
  82   ssl_ciphers 'EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EDH+CAMELLIA256:EECDH:EDH+aRSA:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED:!AES128:!CAMELLIA128:!ECDSA:AES256-SHA';
  83   add_header Strict-Transport-Security max-age=2592000;
  84   add_header X-Frame-Options DENY;
  85 \end{lstlisting}
  86
  87 %% XXX FIXME: do we need to specify dhparams? Parameter: ssl_dhparam = file. See: http://wiki.nginx.org/HttpSslModule#ssl_protocols
  88
  89
  90 If you decide to trust NIST's ECC curve recommendation, you can add the following line to nginx's configuration file to select special curves:
  91
  92 \begin{lstlisting}[breaklines]
  93   ssl_ecdh_curve          sect571k1;
  94 \end{lstlisting}
  95
  96 You should redirect everything to httpS:// if possible. In Nginx you can do this with the following setting:
  97
  98 \begin{lstlisting}[breaklines]
  99   rewrite     ^(.*)   https://$host$1 permanent;
 100 \end{lstlisting}
 101
 102 %\subsubsection{openssl.conf settings}
 103
 104 %\subsubsection{Differences in SSL libraries: gnutls vs. openssl vs. others}
 105
 106 \subsubsection{MS IIS}
 107 \label{sec:ms-iis}
 108
 109
 110
 111 When trying to avoid RC4 and CBC (BEAST-Attack) and requiring perfect
 112 forward secrecy, Microsoft Internet Information Server (IIS) supports
 113 ECDSA, but does not support RSA for key exchange (consider ECC suite
 114 B doubts\footnote{\url{http://safecurves.cr.yp.to/rigid.html}}).
 115
 116 Since \verb|ECDHE_RSA_*| is not supported, a SSL certificate based on
 117 elliptic curves needs to be used.
 118
 119 The configuration of cipher suites MS IIS will use can be configured in one
 120 of the following ways:
 121 \begin{enumerate}
 122 \item Group Policy \footnote{\url{http://msdn.microsoft.com/en-us/library/windows/desktop/bb870930(v=vs.85).aspx}}
 123 \item Registry
 124 \item IIS Crypto~\footnote{\url{https://www.nartac.com/Products/IISCrypto/}}
 125 \end{enumerate}
 126
 127
 128 Table~\ref{tab:MS_IIS_Client_Support} shows the process of turning on
 129 one algorithm after another and the effect on the supported Clients
 130 tested using https://www.ssllabs.com.
 131
 132 \verb|SSL 3.0|, \verb|SSL 2.0| and \verb|MD5| are turned off.
 133 \verb|TLS 1.0| and \verb|TLS 2.0| are turned on.
 134
 135 \begin{table}[h]
 136   \centering
 137   \small
 138   \begin{tabular}{|l|l|}
 139     \hline
 140     Cipher Suite & Client \\
 141     \hline
 142     \verb|TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256| & only IE 10,11, OpenSSL 1.0.1e \\
 143     \hline
 144     \verb|TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256| & Chrome 30, Opera 17, Safari 6+ \\
 145     \hline
 146     \verb|TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA| & FF 10-24, IE 8+, Safari 5, Java 7\\
 147     \hline
 148   \end{tabular}
 149   \caption{Client support}
 150   \label{tab:MS_IIS_Client_Support}
 151 \end{table}
 152
 153 Table~\ref{tab:MS_IIS_Client_Support} shows the algoriths from
 154 strongest to weakest and why they need to be added in this order. For
 155 example insiting on SHA-2 algorithms (only first two lines) would
 156 eliminate all versions of Firefox, so the last line is needed to
 157 support this browser, but should be placed at the bottom, so capable
 158 browsers will choose the stronger SHA-2 algorithms.
 159
 160 \verb|TLS_RSA_WITH_RC4_128_SHA| or equivalent should also be added if
 161 MS Terminal Server Connection is used (make sure to use this only in a
 162 trusted environment). This suite will not be used for SSL, since we do
 163 not use a RSA Key.
 164
 165
 166 % \verb|TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256| ... only supported by: IE 10,11, OpenSSL 1.0.1e
 167 % \verb|TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256| ... Chrome 30, Opera 17, Safari 6+
 168 % \verb|TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA| ... Firefox 10-24, IE 8+, Safari 5, Java 7
 169
 170
 171 Not supported Clients:
 172 \begin{enumerate}
 173 \item Java 6
 174 \item WinXP
 175 \item Bing
 176 \end{enumerate}
 177
 178
 179 \subsection{Mail and POP/IMAP Servers}
 180 \subsubsection{Dovecot}
 181
 182
 183
 184 Dovecot 2.2:
 185
 186 % Example: http://dovecot.org/list/dovecot/2013-October/092999.html
 187
 188 \begin{lstlisting}[breaklines]
 189   ssl_cipher_list = 'EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EDH+CAMELLIA256:EECDH:EDH+aRSA:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED:!AES128:!CAMELLIA128:!ECDSA:AES256-SHA'
 190   ssl_prefer_server_ciphers = yes
 191 \end{lstlisting}
 192
 193 Dovecot 2.1: Almost as good as dovecot 2.2. Does not support ssl\_prefer\_server\_ciphers
 194
 195
 196 \subsubsection{Cyrus}
 197
 198 \todo{write this subsubsection}
 199
 200 \subsubsection{UW}
 201
 202 \todo{write this subsubsection}
 203
 204 Another option to secure IMAPs servers is to place them behind an stunnel server.
 205
 206 % XXX config von Adi?
 207 % sslVersion = TLSv1
 208 % ciphers = EDH+CAMELLIA256:EDH+aRSA:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED:-AES128:!CAMELLIA128:!ECDSA:AES256-SHA:EDH+AES128;
 209 % options = CIPHER_SERVER_PREFERENCE
 210 % TIMEOUTclose = 1
 211
 212 \subsubsection{Postfix}
 213
 214
 215
 216 First, you need to generate Diffie Hellman parameters (please first take a look at the section \ref{section:PRNG}):
 217
 218 \begin{lstlisting}[breaklines]
 219   % openssl gendh -out /etc/postfix/dh_param_512.pem -2 512
 220   % openssl gendh -out /etc/postfix/dh_param_1024.pem -2 1024
 221 \end{lstlisting}
 222
 223 Next, we specify these DH parameters in the postfix config file:
 224
 225 \begin{lstlisting}[breaklines]
 226   smtpd_tls_dh512_param_file = /etc/postfix/dh_param_512.pem
 227   smtpd_tls_dh1024_param_file = /etc/postfix/dh_param_1024.pem
 228 \end{lstlisting}
 229
 230 You usually don't want restrictions on the ciphers for opportunistic
 231 encryption, because any encryption is better than plain text.
 232
 233 For submission (Port 587) or other special cases, however, you want to
 234 enforce strong encryption. In addition to the below entries in
 235 main.cf, you need to enable ``mandatory`` encryption for the
 236 respective service, e.g. by adding ``-o
 237 smtpd\_tls\_security\_level=encrypt'' to the submission smtpd in
 238 master.cf.
 239
 240 % don't -- this influences opportunistic encryption
 241 %  smtpd_tls_protocols = !SSLv2, !SSLv3
 242
 243 \begin{lstlisting}[breaklines]
 244   smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
 245   tls_ssl_options=NO_COMPRESSION
 246   smtpd_tls_mandatory_ciphers=high
 247   tls_high_cipherlist='EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EDH+CAMELLIA256:EECDH:EDH+aRSA:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS:!RC4:!SEED:!AES128:!CAMELLIA128:!ECDSA:AES256-SHA'
 248   tls_preempt_cipherlist = yes
 249   tls_random_source = dev:/dev/urandom
 250     %% NOTE: might want to have /dev/random here + Haveged
 251 \end{lstlisting}
 252
 253 For those users, who want to use ECC key exchange, it is possible to specify this via:
 254 \begin{lstlisting}[breaklines]
 255   smtpd_tls_eecdh_grade = ultra
 256 \end{lstlisting}
 257
 258 You can check the settings by specifying  smtpd\_tls\_loglevel = 1 and then check the selected ciphers with the following command:
 259 \begin{lstlisting}[breaklines]
 260 $ zegrep "TLS connection established from.*with cipher" /var/log/mail.log | \
 261 > awk '{printf("%s %s %s %s\n", $12, $13, $14, $15)}' | sort | uniq -c | sort -n
 262       1 SSLv3 with cipher DHE-RSA-AES256-SHA
 263      23 TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384
 264      60 TLSv1 with cipher ECDHE-RSA-AES256-SHA
 265     270 TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384
 266     335 TLSv1 with cipher DHE-RSA-AES256-SHA
 267 \end{lstlisting}
 268
 269 Source: \url{http://www.postfix.org/TLS_README.html}
 270
 271 \subsubsection{SMTP: opportunistic TLS}
 272
 273 \todo{write this subsubsection}
 274
 275 % do we need to documment starttls in detail?
 276 %\subsubsection{starttls?}
 277
 278 \subsection{SSH}
 279
 280 \begin{lstlisting}[breaklines]
 281         RSAAuthentication yes
 282         PermitRootLogin no
 283         StrictModes yes
 284         HostKey /etc/ssh/ssh_host_rsa_key
 285         Ciphers aes256-ctr
 286         MACs hmac-sha2-512,hmac-sha2-256,hmac-ripemd160
 287         KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1
 288 \end{lstlisting}
 289
 290 % XXX: curve25519-sha256@libssh.org only available upstream(!)
 291 Note: older linux systems won't support SHA2, PuTTY does not support RIPE-MD160.
 292
 293 \subsection{OpenVPN}
 294
 295 \todo{write this subsection}
 296
 297 \subsection{IPSec}
 298 \todo{write this subsection}
 299
 300 \subsection{PGP/ GPG - Pretty Good Privacy}
 301
 302 \todo{write this subsection -- this is still only a draft!!}
 303 \input{GPG}
 304
 305
 306
 307 %%% Local Variables:
 308 %%% mode: latex
 309 %%% TeX-master: "applied-crypto-hardening"
 310 %%% End: