Toon posts:

Schannel logs: onbekend welk TLS Protol en Cipher suite

Pagina: 1
Acties:

Vraag

vrijdag 24 maart 2023 12:39

Acties:
  • 0 Henk 'm!
  • Urk
  • Registratie: Maart 2000
  • Laatst online: 14-09 14:01

Urk

Topicstarter
Ik heb een Windows Server 2016 met daarop Exchange 2016 (laatste CU) draaien.
Via IIS Crypto heb ik TLS1.0 en TLS1.1 uitgezet en alleen de volgende TLS1.2 ciphers toegelaten:
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Dit is in mijn optiek voor deze server de beste TLS security optie voor Windows Server 2016 en geschikt voor de beste compatibility vanaf clients.

In de eventlog krijg ik per seconden tientallen erorrs:
A fatal error occurred while creating a TLS client credential. The internal error state is 10013.
Opzich logisch natuurlijk alleen krijg ik nergens te zien met welk Protocol en Cipher een client aan de andere kant probeert te verbinden.

Als ik EVENT logging naar waarde 0x0007 zet in HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging krijg ik alleen van succesvolle communicatie te zien welk protocol en cipher wordt gebruikt. Voor de niet succesvolle (in dit geval dus) krijg ik dat niet te zien.

Ik kan nergens online vinden hoe ik dat inzichtelijk kan krijgen. Weet iemand hoe ik daar achter kom? Of geeft de 10013 code dat volledig aan? _/-\o_

Alle reacties

vrijdag 24 maart 2023 14:24

Acties:
  • +2 Henk 'm!
  • wjjkoevoets
  • Registratie: April 2006
  • Laatst online: 12-09 19:10

wjjkoevoets

Brabants Gedrocht

Wireshark.

Clients zullen eerst een TCP/IP handshake uitvoeren met je server en vervolgens een TLS Client Hello pakket sturen. Dit pakket bevat de lijst met ciphers die de client ondersteund. Met Wireshark kan je dit pakket capturen en uitlezen.

De client hoeft niet eens heel oud te zijn om TLS_ECDHE_RSA_WITH_AES suites gewoon totaal niet te ondersteunen.

Of all tyrannies, a tyranny sincerely exercised for the good of its victims may be the most oppressive.

vrijdag 24 maart 2023 14:58

Acties:
  • +2 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:26

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

wjjkoevoets schreef op vrijdag 24 maart 2023 @ 14:24:
De client hoeft niet eens heel oud te zijn om TLS_ECDHE_RSA_WITH_AES suites gewoon totaal niet te ondersteunen.
Dat... MS adviseert om voor de combi Server 2016 / Exchange 2016 de volgende 1.2 ciphers enabled te hebben:
  • 'TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384',
  • 'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256',
  • 'TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384',
  • 'TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256',
  • 'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384',
  • 'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256',
  • 'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384',
  • 'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256'
Leesvoer:
Exchange Server TLS configuration best practices, hier staan nog wel wat additionele requirements in. :)

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 27 maart 2023 10:15

Acties:
  • 0 Henk 'm!
  • Urk
  • Registratie: Maart 2000
  • Laatst online: 14-09 14:01

Urk

Topicstarter
Question Mark schreef op vrijdag 24 maart 2023 @ 14:58:
[...]

Dat... MS adviseert om voor de combi Server 2016 / Exchange 2016 de volgende 1.2 ciphers enabled te hebben:
  • 'TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384',
  • 'TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256',
  • 'TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384',
  • 'TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256',
  • 'TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384',
  • 'TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256',
  • 'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384',
  • 'TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256'
Leesvoer:
Exchange Server TLS configuration best practices, hier staan nog wel wat additionele requirements in. :)
Dank je Mark, erg nuttig. Ik zag trouwens zojuist in IISCrypto dat er meer ciphers aanstaan, zelfs nog 2 meer dan die jij hierboven noemt. Namelijk:

Afbeeldingslocatie: https://tweakers.net/i/Eg-TBbka_TFURGO5VWyTVgZBZ6A=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/nqMWDRUajmisGsZGce4i1N3Y.png?f=user_large

De SSL Labs Server test laat die anderen echter niet zien. Vreemd toch? Die zou toch alle ciphers moeten testen, niet alleen die voorkeur krijgen?

maandag 27 maart 2023 14:01

Acties:
  • 0 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:26

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Hoe is je exchange server ontsloten? Zit er toevallig nog een loadbalancer, reverse proxy of ander component tussen wat iets alsSSL offloading doet?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 27 maart 2023 15:10

Acties:
  • 0 Henk 'm!
  • Urk
  • Registratie: Maart 2000
  • Laatst online: 14-09 14:01

Urk

Topicstarter
Question Mark schreef op maandag 27 maart 2023 @ 14:01:
Hoe is je exchange server ontsloten? Zit er toevallig nog een loadbalancer, reverse proxy of ander component tussen wat iets alsSSL offloading doet?
Ja, alleen een Sonciwall firewall maar doet geen SSL offloading..

[ Voor 4% gewijzigd door Urk op 28-03-2023 01:30 ]

dinsdag 28 maart 2023 15:45

Acties:
  • 0 Henk 'm!
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:26

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Ik zou dat wel even gaan uitsluiten. Pak eens een (linux) machine en gebruik testssl eens? Als je daarmee zowel intern als extern test, kun je kijken of je nog verschillen ziet.

https://github.com/drwetter/testssl.sh

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq