Merge pull request #32 from ax3l/ssh-moreEtmMacs
authorAaron Zauner <azet@azet.org>
Sun, 5 Jan 2014 20:28:45 +0000 (12:28 -0800)
committerAaron Zauner <azet@azet.org>
Sun, 5 Jan 2014 20:28:45 +0000 (12:28 -0800)
SSHd: add ETM MACs for SHA2

TODO.txt
src/applied-crypto-hardening.tex
src/practical_settings/ssh.tex
src/practical_settings/webserver.tex

index 7ea0b69..7bcabde 100644 (file)
--- a/TODO.txt
+++ b/TODO.txt
@@ -32,6 +32,12 @@ DONE * DB2 (--> Berg. Or ask MLeyrer)
 * re-work chapter 2 (practical settings). Add lots of references to chapter 3 to get people interested in reading the theory.
 
 
+Website
+=======
+People with outdated browsers (winXP) etc can't see our webpage. --> make a landing page explaining 
+how to updated the browser :)
+
+
 Formatting
 ==========
 
@@ -47,6 +53,14 @@ Rendering in Firefox (inline) on Windows seems to be really messed up. What happ
 * Add Timestamp and git shorthash, not only date, to the title page of the document. Easier to check if you version of the document is current!
 
 
+Formats to export
+=================
+Requested by many people on Twitter
+    * Plain TXT version for use on headless servers
+    * HTML version for better reading in browsers and always up-to-date
+    * EPUB version for comfortable reading on tablets and ebook readers
+
+
 Workflow
 ========
 
@@ -188,13 +202,6 @@ Contacting / who?
 * Cisco
 * Leithold
 
-Formats to export
-=================
-Requested by many people on Twitter
-    * Plain TXT version for use on headless servers
-    * HTML version for better reading in browsers and always up-to-date
-    * EPUB version for comfortable reading on tablets and ebook readers
-
 LATER / further 
 ================
 * OpenLDAP (-> Adi)
index 6e996f3..c080224 100644 (file)
@@ -3,7 +3,8 @@
 %%% bettercrypto.org
 %%%
 \RequirePackage{fix-cm}
-\documentclass[draft]{scrreprt}
+%\documentclass[draft]{scrreprt}
+\documentclass{scrreprt}
 \input{common/system}
 \input{common/style}
 \input{common/commands}
index 60e1170..915632e 100644 (file)
@@ -58,15 +58,20 @@ $ ssh -vvv myserver.com
 \subsubsection{Tested with Version} 15.0, 15.1, 15.2
 \subsubsection{Settings}
 \begin{lstlisting}[breaklines]
-crypto key generate rsa modulus 2048 label SSH-KEYS
+crypto key generate rsa modulus 4096 label SSH-KEYS
 ip ssh rsa keypair-name SSH-KEYS
 ip ssh version 2
 ip ssh dh min size 2048
+
+line vty 0 15
+transport input ssh
+
 \end{lstlisting}
 Note: Same as with the ASA, also on IOS by default both SSH versions 1 and 2 are allowed and the DH-key-exchange only use a DH-group of 768 Bit.
 In IOS, a dedicated Key-pair can be bound to SSH to reduce the usage of individual keys-pairs.
+From IOS Version 15.0 onwards, 4096 Bit rsa keys are supported and should be used according to the paradigm "use longest supported key". Also, do not forget to disable telnet vty access.
 \subsubsection{References}
-\url{http://www.cisco.com/en/US/docs/ios/sec\_user\_services/configuration/guide/sec\_secure\_shell\_v2.html }
+\url{http://www.cisco.com/en/US/docs/ios/sec\_user\_services/configuration/guide/sec\_cfg\_secure\_shell.html }
 % add any further references or best practice documents here
 \subsubsection{How to test}
 Connect a client with verbose logging enabled to the SSH server \\
index ce81b2d..bf995b9 100644 (file)
@@ -30,7 +30,9 @@ Enabled modules \emph{SSL} and \emph{Headers} are required.
 
 \end{lstlisting}
 
-Note that any cipher suite starting with ECDHE can be omitted, if in doubt.
+Note that any cipher suite starting with EECDH can be omitted, if in doubt.
+(Compared to the theory section, EECDH in Apache and ECDHE in OpenSSL are
+synonyms~\footnote{https://www.mail-archive.com/openssl-dev@openssl.org/msg33405.html})
 
 \subsubsection{Additional settings}
 
@@ -108,7 +110,6 @@ HTTPS is in use.
     $HTTP["host"] =~ ".*" {
         url.redirect = (".*" => "https://%0$0")
     }
-  }
   # Set the environment variable properly
   setenv.add-environment = (
             "HTTPS" => "on"