SSLVPN / DH Key too small

Ankündigungen für die Securepoint Community

Moderator: Securepoint

Gesperrt
Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

SSLVPN / DH Key too small

Beitrag von Erik »

Aufgrund von [CVE-2015-4000] aka "Logjam" verweigern neue Versionen der weit verbreiteten OpenSSL-Library jetzt TLS-Handshakes, wenn für diese DH-Parameter < 768 Bit Länge verwendet wurden.

Standardmäßig wird der SSLVPN-Dienst auf der UTM mit einem 512-Bit-DH-Key initialisiert. Wird mit einer neuen OpenSSL-Version versucht, eine VPN-Verbindung zu diesem Gerät herzustellen, kommt diese Verbindung mit folgender Fehlermeldung nicht zustande:

Code: Alles auswählen

TLS_ERROR: BIO read tls_read_plaintext error: error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small
Um wieder eine Verbindung herstellen zu können, ist es notwendig, sich mit einem "root"-Benutzer und einem SSH-Client zur UTM zu verbinden und folgende Befehle auszuführen:

Hinweis: Bitte fertigen Sie ein Backup Ihrer Konfiguration an, bevor Sie diese Änderungen durchführen!

Die Anpassungen sind reboot-persistent, müssen bei der UTM v10 aber nach einer Neuinstallation bzw dem Zurückspielen der Konfiguration erneut durchgeführt werden.

Das Erstellen des DH-Keys kann mehrere Minuten in Anspruch nehmen. Währenddessen gibt die Konsole eine folge von ".*+" aus. Am Ende der Generierung erscheint unter Umständen die Meldung "unable to write random state". Diese kann ignoriert werden.


Securepoint UTM v10

Code: Alles auswählen

# openssl dhparam -out /var/openvpn/`spcli show extc_value openvpn CERT_CN | head -n 1`.dh 1024  
# spcli restart application SERVICE_OPENVPN
Securepoint UTM v11

Code: Alles auswählen

# sqlite3 /tmp/running.db "update openvpn set openvpn_dh_size = 1024, openvpn_dh_data = '`openssl dhparam 1024`' where openvpn_dh_size < 1024"
# spcli system config save
# spcli appmgmt config
# spcli appmgmt stop application openvpn
# spcli appmgmt start application openvpn
Bitte beachten Sie die unterschiedliche Verwendung von Anführungszeichen/Backticks. Diese müssen genau so eingegeben werden!
Des weiteren muss der openvpn-Dienst gestoppt und dann wieder gestartet werden. Ein "restart" ist nicht ausreichend.

oliver
Securepoint
Beiträge: 452
Registriert: Mi 07.02.2007, 14:55
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von oliver »

Ab Version UTM 11.5.1 11.6.3 werden neu angelegte SSL VPN Verbindungen mit einem Diffie-Hellman Parameter von 768 1024 angelegt. Das Anlegen einer Verbindung dauert so etwas länger.

Gesperrt