update TODO.txt: check /etc/services if we missed any important protos
authorAaron Kaplan <aaron@lo-res.org>
Mon, 18 Nov 2013 20:08:21 +0000 (21:08 +0100)
committerAaron Kaplan <aaron@lo-res.org>
Mon, 18 Nov 2013 20:08:21 +0000 (21:08 +0100)
make a section on the austrian citizen card
add scope.tex section where we can list what we do NOT cover.

TODO.txt
src/applied-crypto-hardening.tex
src/disclaimer.tex
src/practical_settings.tex
src/scope.tex [new file with mode: 0644]

index 1320882..a99823d 100644 (file)
--- a/TODO.txt
+++ b/TODO.txt
@@ -5,7 +5,9 @@ Website
 BIG TOPICS
 ==========
 * write a Justification section to every setting, maybe have that later in the document. 
+
 * move the explanations to a later part of the document. Code snippets go *first* . The target group is sysadmins, must be easily copy & paste-able. Or find a different way so that they can easily use/read the document
+
 * Write section 7.3 (-> Adi . How to chose your own cipher string + screenshots)
 
 Formatting
@@ -26,12 +28,35 @@ Workflow
 
 Contents
 ========
+* scan our local region of the internet for https/smtp/imaps/pop3s
+
+* Common Pitfalls: 
+  - key generation
+  - key management , key life cycle
+  - cloning of VMs
+* DH parameter?
+* Further research
+ - mysql, SMB, 
+* Wish List for software vendors?
+* sweet spot, wo koennen wir was sinnvoll machen, was waere zu viel (8192 bit keys...)
+
+
 1. document the abstract needs that we have for the cipher settings (HSTS etc)
    Then find the best cipher setting strings per se
    Only then put it to all servers and keep it rather uniformely (as much as possible)
 
 2. Test all settings 
+
 * Test with more clients and other OSes than OSX / iPhone!!
+--> clients? 
+  - thunderbird
+  - Apple Mail?
+  - Outlook *
+  - Playstation und XBox? --> LATER!
+  - Lotus Notes
+  - Blackberry*
+  - Windows Phone 7 ???
+
 * document (cite) EVERYTHING! Why we chose certain values. Referneces, references, references. Otherwise it does not count!
   Srsly!!
 * .bib file is completely wrong. Make good citations/references. Add books: Schneier, ...
@@ -45,18 +70,67 @@ Contents
 
 Section 6
 ----------
-Still missing subsubsections:
-* Exchange Server
+Definitely still missing these subsubsections:
+* Exchange Server ??  (--> bei M$ angefragt, Evtl. Beitrag von A-Trust)
   - SMTP, POP, IMAP
-* Exim4 (-> Adi & Wolfgang Breya)
+DONE * Exim4 (-> Adi & Wolfgang Breya)
 * Checkpoint (-> cm)
 * Asa / Palo Alto (-> Azet)
-* Terminal Server (VNC, TeamViewer), 
+* Terminal Server (VNC ), ??
 * Squid
-* Mobile devices:
-  - Android
-  - iPhone
-  - 
+* XMPP
+  --> verweise auf die xmpp community bzw. auf xmpp.net verweisen.
+  Empfehlung: unbedingt ejabberd updaten!!  
+
+
+----- snip ---- all protocols that we looked at --- snip ----
+* whatsapp --> man kann nichts machen, out of scope
+* Lync: == SIP von M$. 
+* Skype: man kann ncihts machen, out of scope.
+* Wi-Fi APs, 802.1X, ... ????
+* Tomcats/...????
+* VPNs         ???
+  * PPTP
+  * Cisco IPSec
+  * Juniper VPN
+  * L2TP over IPSec -> egal
+* SIP   -> Klaus?
+* SRTP  -> Klaus?
+* DNSSec ??    Verweis auf BCPxxx      --> out of scope
+   - DANE
+What happens at the IETF at the moment?
+* TOR?? --> out of scope
+* S/Mime --> nachsehen, gibt es BCPs? (--> Ramin)
+* TrueCrypt, LUKS, FileVault, etc ---> out of scope
+* AFS -> out of scope
+* Kerberos --> out of scope
+* NNTP -> out of scope
+* NTPs tlsdate -> out of scope
+* BGP / OSPF --> out of scope
+* irc,silc --> out of scope
+!! * IPMI/ILO/RAC: Java --> important. Empfehlung: nie ins Internet, nur in ein eigenes mgmt VLAN, das via VPN erreichbar ist!!
+* LDAP -> out of scope
+* Moxa , APC, und co... ICS . Ethernet to serial --> out of scope
+* telnet -> DON't!!! 
+* rsyslog --> out of scope
+* ARP bei v6 spoofing -> out of scope
+* tinc?? -> out of scope
+* rsync -> nur ueber ssh fahren ausser public web mirrors
+* telnets -> out of scope
+* ftps -> out of scope
+!! * seclayer-tcp --> review von Posch & co.
+seclayer-tcp    3495/udp    # securitylayer over tcp
+seclayer-tcp    3495/tcp    # securitylayer over tcp
+* webmin -> maybe
+* plesk -> out of scope
+* phpmyadmin --> haengt am apache, out of scope
+* DSL modems -> out of scope
+* UPnP, natPmp --> out of scope
+----- snip ---- all protocols that we looked at --- snip ----
+
+
+
+
 
 
 RNDG section
index 1228eb1..c857278 100644 (file)
@@ -165,6 +165,7 @@ morekeywords={__global__, __device__},  %
                                        \par\end{flushleft}\HorRule}
 
 \date{\today}
+\subtitle{\url{http://www.bettercrypto.org}}
 
 
 
index 6dd9ef3..39ddd9f 100644 (file)
@@ -1,9 +1,12 @@
 \section{Disclaimer}
+This guide specifically does not address physical security issues, protecting software and hardware against exploits, basic IT security housekeeping tasks, anti-tempest\footnote{\url{https://en.wikipedia.org/wiki/Tempest\_(codename)}} attack techniques, protecting against side-channel attacks or other similar attacks which are usually employed to circumvent strong encryption. The authors can not overstate the importance of these other techniques. 
+
 This guide can only describe what the authors currently \emph{believe} to be the best settings based on their personal experience. This guide was cross checked by multiple people. For a complete list, see the appendix section "reviewers". Even though, multiple specialists reviewed the guide, the authors can give \emph{no guarantee} whatsover that they made the right recommendations. Keep in mind that tomorrow there might be new attacks on some ciphers and many of the recommendations in this guide might turn out to be wrong.
 
+
 %% should we keep that sentence?
 %% The authors do not know XXX FIXME XXX list things we don't know which affect the guide? XXX
 
-Nevertheless, ignoring the problem and keeping outdated settings for SSL, SSH, PGP is not an option. We the authors, need this document as much as the gentle reader needs it.
+Nevertheless, ignoring the problem at hand and keeping outdated settings for SSL, SSH, PGP is not an option. We the authors, need this document as much as the gentle reader needs it.
 
 
index ebf9c09..3c930ad 100644 (file)
@@ -549,6 +549,14 @@ Lifetime: \todo{need recommendations; 1--8 hours seems to be common practice}
 \todo{re-work this subsection -- this is still only a draft!!}
 \input{GPG}
 
+\subsection{seclayer-tcp}
+\todo{write this section}
+For the austrian citizen card....
+
+\begin{verbatim}
+seclayer-tcp    3495/udp    # securitylayer over tcp
+seclayer-tcp    3495/tcp    # securitylayer over tcp
+\end{verbatim}
 
 
 %%% Local Variables: 
diff --git a/src/scope.tex b/src/scope.tex
new file mode 100644 (file)
index 0000000..9ff5d78
--- /dev/null
@@ -0,0 +1,7 @@
+\section{Scope}
+
+We are only analyzing...
+* internet serving devices
+* ...
+
+