Alte Chiffren verwendet + SHA-Zertifikat auf der UTM

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
dwmf
Beiträge: 71
Registriert: Do 04.09.2014, 13:42

Alte Chiffren verwendet + SHA-Zertifikat auf der UTM

Beitrag von dwmf »

Hallo

wir haben eine Securepoint UTM im Einsatz und vor einiger Zeit einen PenTest machen lassen. Hierbei wurden Chiffren mit einer Schlüsselänge < 128 Bit "gefunden".
Derzeit haben wir Version 11.7.3.1 installiert. Ich habe mir nun über Nmap die Chiffren mal anzeigen lassen, mit folgenden zwei Ergebnis-Meldungen (sowohl für TLS 1.0, 1.1 und 1.2):
1. 64-Bit block cipher 3DES vulnerable to SWEET32 attack
2. Weak certificate signature: SHA1

Zu 1.: wie kann man die 3DES-Chiffren deaktivieren? Kann das bei einem zukünftigen Update der UTM abgeschaltet werden?
Zu 2.: Ich vermute, damit wird das von der UTM selbst erstellte firewall.foo.local-Zertifikat gemeint sein, kann das sein? Wie kann man das austauschen?

Hoffe, mir kann hier jemand weiterhelfen.

Grüße
dwmf

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Hallo,

das Zertifikat lässt sich ändern, indem man sich per SCP-Verbindung (z.B. WinSCP) per root an der UTM anmeldet und dann hier das Zertifikat austauscht:
/rootdisk/config/nginx/cert.pem
Danach den Webserver per SPCLI neu starten:
appmgmt restart application "webserver"

Gruß
Rolf

dwmf
Beiträge: 71
Registriert: Do 04.09.2014, 13:42

Beitrag von dwmf »

Hallo,

super, danke für die Info, probiere ich aus

Grüße

dwmf
Beiträge: 71
Registriert: Do 04.09.2014, 13:42

Beitrag von dwmf »

Hallo,

habe es eingerichtet, leider ohne Erfolg. Er nimmt zwar ein anderes Zertifikat aber nicht das, das ich eingerichtet hatte (dieses ominäse "andere" Zertifikat hat eine Gültigkeit bis 2038 (hat unseres natürlich nicht), der Name ist aber auch nicht mehr firewall.foo.local). D.h. er nimmt nicht mehr das ursprüngliche Standard-Zertifikat, aber auch nicht das, das ich hochgeladen hatte. Zertifikatswarnung kommt auch nach wie vor im Browser (unbekannter Aussteller).
Jemand eine Idee?
Muss die Zertifikats-Datei (pem) einen bestimmten inhaltlichen Aufbau haben (z.B. ohne/mit "Bag Attributes" + "Key Attributes")?
Oder liegen hier sonst noch mögliche Fehlerquellen vor?
Danke!

Grüße

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

dann ist irgendwas beim Austausch schief gelaufen, dadurch hat die UTM im Hintergrund ein neues Zertifikat erstellt. (Der Names des erstellten Zertifikates ist vom Namen der UTM in den Servereigenschaften abhängig).
Muss die Zertifikats-Datei (pem) einen bestimmten inhaltlichen Aufbau haben (z.B. ohne/mit "Bag Attributes" + "Key Attributes")?
In der Datei muss die Zertifikatskette enthalten sein und der private Key darf nicht mit einer Passphrase gesichert sein.

Gruß 
Kenneth

dwmf
Beiträge: 71
Registriert: Do 04.09.2014, 13:42

Beitrag von dwmf »

Jetzt hat es funktioniert, private Key hatte eine Passphrase, hatte diese jetzt entfernt, danke! :)

Hat jemand eine Idee, wie man die 3DES-Chiffren deaktivieren?

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Kleine, zusätzliche Anmerkung noch von mir zum Zertifikats-Austausch:
Der Chrome braucht da gerne mal einen Neustart wenn das neue Zertifikat drin ist, bevor es richtig angezeigt wird.

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

dwmf hat geschrieben:Hat jemand eine Idee, wie man die 3DES-Chiffren deaktivieren?
Untern "Authentifizierung -> Verschlüsselung -> Webserver" die Cipher Suite manuell anpassen 

dwmf
Beiträge: 71
Registriert: Do 04.09.2014, 13:42

Beitrag von dwmf »

Vielen Dank für Eure Antworten/Infos!

@kennethj: D.h. ich kann hier (entsprechend der Anleitung unter https://wiki.securepoint.de/UTM/AUTH/Ve ... %BCsselung) z.B. im globalen Tab die "DH Key Size" auf 4096 stellen und bei Cipher-Suite den String
"ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS"
nach Bedarf bearbeiten, z.B. zu:
"ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS" (also alle 3DES-Suites entfernen, Trennzeichen ist ":" und nicht "+"?).
Sehe ich das richtig?

dwmf
Beiträge: 71
Registriert: Do 04.09.2014, 13:42

Beitrag von dwmf »

Kann das jemand bestätigen?

dwmf
Beiträge: 71
Registriert: Do 04.09.2014, 13:42

Beitrag von dwmf »

Kann mich hier jemand aufklären? In der Doku finde ich hierzu keine Details

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Hallo dwmf,
kennethj ist hier (natürlich ;-) ) absolut korrekt.
Das Trennzeichen ist tatsächlich :
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

dwmf
Beiträge: 71
Registriert: Do 04.09.2014, 13:42

Beitrag von dwmf »

Hallo,

in Ordnung, dann werde ich das probieren, danke!

Grüße

dwmf
Beiträge: 71
Registriert: Do 04.09.2014, 13:42

Beitrag von dwmf »

Hallo,

ich habe gesehen, dass mittlerweile nicht mehr
"ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS"
in dem Feld drin steht, sondern
"Standardwert des Dienstes verwenden".
Wie kann ich die 3DES-Chiffren nun in diesem Fall deaktivieren?

Danke und Grüße
dwmf

Antworten