Seite 1 von 1

SSLVPN / DH Key too small

Verfasst: Mo 22.06.2015, 08:56
von Erik
Aufgrund von [CVE-2015-4000] aka "Logjam" verweigern neue Versionen der weit verbreiteten OpenSSL-Library jetzt TLS-Handshakes, wenn für diese DH-Parameter < 768 Bit Länge verwendet wurden.

Standardmäßig wird der SSLVPN-Dienst auf der UTM mit einem 512-Bit-DH-Key initialisiert. Wird mit einer neuen OpenSSL-Version versucht, eine VPN-Verbindung zu diesem Gerät herzustellen, kommt diese Verbindung mit folgender Fehlermeldung nicht zustande:

Code: Alles auswählen

TLS_ERROR: BIO read tls_read_plaintext error: error:14082174:SSL routines:SSL3_CHECK_CERT_AND_ALGORITHM:dh key too small
Um wieder eine Verbindung herstellen zu können, ist es notwendig, sich mit einem "root"-Benutzer und einem SSH-Client zur UTM zu verbinden und folgende Befehle auszuführen:

Hinweis: Bitte fertigen Sie ein Backup Ihrer Konfiguration an, bevor Sie diese Änderungen durchführen!

Die Anpassungen sind reboot-persistent, müssen bei der UTM v10 aber nach einer Neuinstallation bzw dem Zurückspielen der Konfiguration erneut durchgeführt werden.

Das Erstellen des DH-Keys kann mehrere Minuten in Anspruch nehmen. Währenddessen gibt die Konsole eine folge von ".*+" aus. Am Ende der Generierung erscheint unter Umständen die Meldung "unable to write random state". Diese kann ignoriert werden.


Securepoint UTM v10

Code: Alles auswählen

# openssl dhparam -out /var/openvpn/`spcli show extc_value openvpn CERT_CN | head -n 1`.dh 1024  
# spcli restart application SERVICE_OPENVPN
Securepoint UTM v11

Code: Alles auswählen

# sqlite3 /tmp/running.db "update openvpn set openvpn_dh_size = 1024, openvpn_dh_data = '`openssl dhparam 1024`' where openvpn_dh_size < 1024"
# spcli system config save
# spcli appmgmt config
# spcli appmgmt stop application openvpn
# spcli appmgmt start application openvpn
Bitte beachten Sie die unterschiedliche Verwendung von Anführungszeichen/Backticks. Diese müssen genau so eingegeben werden!
Des weiteren muss der openvpn-Dienst gestoppt und dann wieder gestartet werden. Ein "restart" ist nicht ausreichend.

Re: SSLVPN / DH Key too small

Verfasst: Mi 24.06.2015, 11:38
von oliver
Ab Version UTM 11.5.1 11.6.3 werden neu angelegte SSL VPN Verbindungen mit einem Diffie-Hellman Parameter von 768 1024 angelegt. Das Anlegen einer Verbindung dauert so etwas länger.