[dk] Fwd: Bitte des Prorektors L/S

wolf at stura.htw-dresden.de wolf at stura.htw-dresden.de
Mo Mai 9 10:33:32 CEST 2016 

Ich bitte um Beiträge an mich um gesammelt an RZ zu antworten.


-------- Original-Nachricht --------
Subject: 	Bitte des Prorektors L/S


unser Prorektor L/S bat mich Ihnen unsere unten stehende Reaktion auf an
uns durch den Prorektor L/S herangetragene Fragen mitzuteilen.



Diesem Wunsch komme ich gerne nach:

-----

* Mailserver "webmail" ist angreifbar - d.h. es besteht eine jederzeit
ausnutzbare Lücke, aktuelles Ergebnis am 01.04.2016: F (schwerste Lücke
von mehreren Verwundbarkeiten: DORWN-Attack, bekannt seit min. einem Monat)

Nicht mehr via DROWN Angreifbar.



* Webserver "www2" ist stark geschwächt, aktuelles Ergebnis am

01.04.2016: C (noch immer kein TLS 1.2)

Unsere eingesetzte Long-Term-Support Version Suse Linux Enterprise
Version 11 SP3 unterstützt nur TLS1.0

Upgrade auf 11SP4 ist generell in Planung, dann auch TLS1.2



* Webserver "www" ist geschwächt, aktuelles Ergebnis am 01.04.2016: B

(RC4 noch immer aktiv)

Möglichkeiten eines Angriffs sind rein theoretisch vorhanden, aber RC4
ist noch immer schwer wegzulassen, wenn eine breite Kompatibilität nötig ist



* Ungültige Zertifikate für weitere Services bekannt

Welche?



* RZ prüft nicht eigenverantwortlich, weder regelmäßig noch
anlassbezogen und auch nicht nach Meldung durch Hochschulmitglieder

Wir prüfen eigenverantwortlich und regelmäßig selbst.

Wir spielen wöchentlich Updates und Patches ein. (Betriebssystem- und
Applikationsebene)

DFN Sicherheitsmeldungen werden gelesen und bearbeitet/angewendet

Welches HS-Mitglied hat auf welchem Weg gemeldet?



* Keine signierte Liste von aktuellen Prüfsummen der Services (inkl.

SSH-Login) beim RZ

Ein paar Fingerprints sind verfügbar



* Absender werden auf den Mailservern der HTW nicht geprüft, den Angaben
in Emails ohne Signatur kann faktisch nicht vertraut werden

Einer der Gründe für den Umstieg auf Exchange. (Und warum das RZ nicht
müde wird der Verwaltung die Nutzung von Zertifikaten nahezulegen)



* X.509-Zertifikate für z.B. S/MIME durch das DFN sind möglich aber
durch die Vorgabe der hirarchischen CA ohne Nutzervertrauen

Die DFN PKI ist der Weg der Hochschulen. Hier sehen wir aber kein
Problem bzw. keinen Nachteil.



* PGP wird von Seiten der Hochschulverwaltung nicht unterstützt

Die DFN PKI ist der Weg der Hochschulen.



-----



Beste Grüße

Alexander Müller

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 836 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.stura.htw-dresden.de/pipermail/dk/attachments/20160509/c5115a6c/attachment.bin>

Mehr Informationen über die Mailingliste dk