Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
Benutzeravatar
Erik
Securepoint
Themen-Autor
Beiträge: 1462
Registriert: Fr 07.11.2008, 11:50

SSLVPN / DH Key too small

Mo 22.06.2015, 08:56

Aufgrund von [CVE-2015-4000] aka "Logjam" verweigern neue Versionen der weit verbreiteten OpenSSL-Library jetzt TLS-Handshakes, wenn für diese DH-Parameter < 768 Bit Länge verwendet wurden.

Standardmäßig wird der SSLVPN-Dienst auf der UTM mit einem 512-Bit-DH-Key initialisiert. Wird mit einer neuen OpenSSL-Version versucht, eine VPN-Verbindung zu diesem Gerät herzustellen, kommt diese Verbindung mit folgender Fehlermeldung nicht zustande:

TLS_ERROR: BIO read tls_read_plaintext error: error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small

Um wieder eine Verbindung herstellen zu können, ist es notwendig, sich mit einem "root"-Benutzer und einem SSH-Client zur UTM zu verbinden und folgende Befehle auszuführen:

Hinweis: Bitte fertigen Sie ein Backup Ihrer Konfiguration an, bevor Sie diese Änderungen durchführen!

Die Anpassungen sind reboot-persistent, müssen bei der UTM v10 aber nach einer Neuinstallation bzw dem Zurückspielen der Konfiguration erneut durchgeführt werden.

Das Erstellen des DH-Keys kann mehrere Minuten in Anspruch nehmen. Währenddessen gibt die Konsole eine folge von ".*+" aus. Am Ende der Generierung erscheint unter Umständen die Meldung "unable to write random state". Diese kann ignoriert werden.


Securepoint UTM v10

# openssl dhparam -out /var/openvpn/`spcli show extc_value openvpn CERT_CN | head -n 1`.dh 1024  
# spcli restart application SERVICE_OPENVPN


Securepoint UTM v11

# sqlite3 /tmp/running.db "update openvpn set openvpn_dh_size = 1024, openvpn_dh_data = '`openssl dhparam 1024`' where openvpn_dh_size < 1024"
# spcli system config save
# spcli appmgmt config
# spcli appmgmt stop application openvpn
# spcli appmgmt start application openvpn

Bitte beachten Sie die unterschiedliche Verwendung von Anführungszeichen/Backticks. Diese müssen genau so eingegeben werden!
Des weiteren muss der openvpn-Dienst gestoppt und dann wieder gestartet werden. Ein "restart" ist nicht ausreichend.
 
oliver
Securepoint
Beiträge: 452
Registriert: Mi 07.02.2007, 14:55
Wohnort: Lüneburg
Kontaktdaten:

Re: SSLVPN / DH Key too small

Mi 24.06.2015, 11:38

Ab Version UTM 11.5.1 11.6.3 werden neu angelegte SSL VPN Verbindungen mit einem Diffie-Hellman Parameter von 768 1024 angelegt. Das Anlegen einer Verbindung dauert so etwas länger.

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast