SSLVPN / DH Key too small
Verfasst: Mo 22.06.2015, 08:56
Aufgrund von [CVE-2015-4000] aka "Logjam" verweigern neue Versionen der weit verbreiteten OpenSSL-Library jetzt TLS-Handshakes, wenn für diese DH-Parameter < 768 Bit Länge verwendet wurden.
Standardmäßig wird der SSLVPN-Dienst auf der UTM mit einem 512-Bit-DH-Key initialisiert. Wird mit einer neuen OpenSSL-Version versucht, eine VPN-Verbindung zu diesem Gerät herzustellen, kommt diese Verbindung mit folgender Fehlermeldung nicht zustande:
Um wieder eine Verbindung herstellen zu können, ist es notwendig, sich mit einem "root"-Benutzer und einem SSH-Client zur UTM zu verbinden und folgende Befehle auszuführen:
Hinweis: Bitte fertigen Sie ein Backup Ihrer Konfiguration an, bevor Sie diese Änderungen durchführen!
Die Anpassungen sind reboot-persistent, müssen bei der UTM v10 aber nach einer Neuinstallation bzw dem Zurückspielen der Konfiguration erneut durchgeführt werden.
Das Erstellen des DH-Keys kann mehrere Minuten in Anspruch nehmen. Währenddessen gibt die Konsole eine folge von ".*+" aus. Am Ende der Generierung erscheint unter Umständen die Meldung "unable to write random state". Diese kann ignoriert werden.
Securepoint UTM v10
Securepoint UTM v11
Bitte beachten Sie die unterschiedliche Verwendung von Anführungszeichen/Backticks. Diese müssen genau so eingegeben werden!
Des weiteren muss der openvpn-Dienst gestoppt und dann wieder gestartet werden. Ein "restart" ist nicht ausreichend.
Standardmäßig wird der SSLVPN-Dienst auf der UTM mit einem 512-Bit-DH-Key initialisiert. Wird mit einer neuen OpenSSL-Version versucht, eine VPN-Verbindung zu diesem Gerät herzustellen, kommt diese Verbindung mit folgender Fehlermeldung nicht zustande:
Code: Alles auswählen
TLS_ERROR: BIO read tls_read_plaintext error: error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small
Hinweis: Bitte fertigen Sie ein Backup Ihrer Konfiguration an, bevor Sie diese Änderungen durchführen!
Die Anpassungen sind reboot-persistent, müssen bei der UTM v10 aber nach einer Neuinstallation bzw dem Zurückspielen der Konfiguration erneut durchgeführt werden.
Das Erstellen des DH-Keys kann mehrere Minuten in Anspruch nehmen. Währenddessen gibt die Konsole eine folge von ".*+" aus. Am Ende der Generierung erscheint unter Umständen die Meldung "unable to write random state". Diese kann ignoriert werden.
Securepoint UTM v10
Code: Alles auswählen
# openssl dhparam -out /var/openvpn/`spcli show extc_value openvpn CERT_CN | head -n 1`.dh 1024
# spcli restart application SERVICE_OPENVPN
Code: Alles auswählen
# sqlite3 /tmp/running.db "update openvpn set openvpn_dh_size = 1024, openvpn_dh_data = '`openssl dhparam 1024`' where openvpn_dh_size < 1024"
# spcli system config save
# spcli appmgmt config
# spcli appmgmt stop application openvpn
# spcli appmgmt start application openvpn
Des weiteren muss der openvpn-Dienst gestoppt und dann wieder gestartet werden. Ein "restart" ist nicht ausreichend.