题 如何修复OpenVPN服务器配置中的Logjam漏洞?


在撰写本文时(第2天),关于如何为Apache和其他Web服务器(例如此页面)缓解Logjam的准确指南很少:

https://weakdh.org/sysadmin.html

OpenVPN服务器的类似说明是什么?

OpenVPN受到了影响吗? (我想是的,因为这是一个TLS协议问题)。


6
2018-05-22 07:34






答案:


攻击仅以非常有限的方式影响OpenVPN,因为:

  1. OpenVPN鼓励用户使用'openssl dhparam'生成自己的DH组,而不是使用常用组。手册页/示例用于提供1024位DH密钥(最近更新为2048),虽然可以破坏1024位dh参数,但这仍然非常昂贵。如果您不与他人共享该组,可能对您的数据来说太昂贵了。
  2. OpenVPN不支持EXPORT DH参数,因此TLS回滚攻击不适用于OpenVPN。

为了安全起见,请使用至少2048位的DH参数。更新DH参数很简单,只需要在服务器上进行更改。使用例如生成新的参数

$ openssl dhparam -out dh3072.pem 3072

然后更新您的服务器配置以使用这些新参数

dh dh3072.pem

并重新启动服务器。


8
2018-05-23 16:48





简而言之,以下几点可以作为参考:

  • 确保DH params密钥的大小> = 2048位。如果没有,则应重新生成。
  • 确保 tls-cipher 不会覆盖OpenVPN配置文件中的设置,或者如果是,则不包括弱和导出级密码。 (如果配置中根本没有定义,则可以使用命令行检查已安装的OpenVPN版本支持的密码列表: openvpn --show-tls
  • 确保安装了最新版本的OpenSSL。此时,它是1.0.2a。此版本禁用了导出密码功能,但仍允许使用较弱的DH密钥。

PS:我写了一篇 博客文章 关于它说的是tl的扩展版本;上面给出的博士。


1
2018-05-27 14:41



你的意思是默认的tls密码列表是安全的吗?在某些时候,我认为我应该使用tls-cipher选项来减少接受的密码列表,如我在问题中提到的页面所示? TIA。 - Serge Wautier