Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OpenVPN-OpenSSL Version des Partners erkennen

Frage Sicherheit

Mitglied: Aegnor

Aegnor (Level 1) - Jetzt verbinden

11.04.2014, aktualisiert 15:48 Uhr, 2581 Aufrufe, 10 Kommentare

Hallo,

durch das Problem von OpenSSL "Heartbleed" frage ich mich, wie ich erkennen welche Version von OpenVPN mein Kommunikationspartner hat.

Zum Hintergrund:

Ich hatte eine betroffene OpenVPN Version im Einsatz, die ich zwischenzeitig aktualisiert habe. Wenn meine Partner (auch noch) betroffene Versionen im Einsatz haben, sind doch möglicherweise die Schlüssel jetzt ggf. bekannt. Damit ich nicht unnötiger Weise alle Zertifikate austauschen muss, interessiert mich, wie ich das feststellen kann.

Selbst wenn man den Log-Level auf Maximum stellt, sehe ich nur meine Version.

Habt ihr eine Idee?

Mitglied: Lochkartenstanzer
11.04.2014, aktualisiert um 13:48 Uhr
Zitat von Aegnor:

Habt ihr eine Idee?

Einfach anrufen und fragen?

oder ist das keine Option?

lks
Bitte warten ..
Mitglied: aqui
11.04.2014, aktualisiert um 14:12 Uhr
Welches OS benutzt du denn für OVPN. Oder sollen wir da die Kristallkugel befragen bei dem sinnfreien Thread ??
Bei Winblows ist das:
Windows-Explorerfenster öffen, den Ordner C:\Program Files\OpenVPN\bin, mit der rechten Maustaste auf die Datei libeay32.dll und prüfen im Bereich "Details/Product Version" das die verwendete OpenSSL-Version anzeigt.
Findet Dr. Google in 3 Sekunden:
http://www.heise.de/newsticker/meldung/OpenVPN-schliesst-Heartbleed-Sic ...
Bei Linux usw. ist das das Kommando "version"
root@raspberry:/home/pi# openssl
OpenSSL> version
OpenSSL 1.0.1e 11 Feb 2013
OpenSSL>

Kann man sich auch selber ohne Forumsthread erschliessen wenn man nachdenkt...

Wenn das denn nun alles war bitte
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: Hitman4021
11.04.2014 um 14:12 Uhr
Hallo,

ich würde alle Zertifikate tauschen - da mit ziemlicher Sicherheit diese Lücke vorhanden war bzw. noch ist.
Immerhin gibt es das Problem nun schon 2 Jahre.

@aqui ich glaube er will die Remote Version auslesen.

Grüße
Bitte warten ..
Mitglied: aqui
11.04.2014, aktualisiert um 14:14 Uhr
...geht ja genau so wenn er da mit RDP oder VNC oder was auch immer raufkommt...oder wie Kollege lks schon sagt den remoten User einfach mal anruft und ihn obige Kommandos ausführen lässt...
Bitte warten ..
Mitglied: brammer
LÖSUNG 11.04.2014, aktualisiert um 15:48 Uhr
Hallo,

oder geht es darum das du die Tunnel die mit einer anfälligen Open VPN - Open SSL Version kommen blocken willst?

Den Sinn dahinter sehe ich durchaus, aber ob die Version zurückgemeldet wird, weiß ich nicht, da ich Open SSL nicht einsetze.

brammer
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 11.04.2014, aktualisiert 12.04.2014
Zitat von brammer:

Den Sinn dahinter sehe ich durchaus, aber ob die Version zurückgemeldet wird, weiß ich nicht, da ich Open SSL nicht einsetze.

Wenn ich den RFC zu SSL richtig lese, werden nur die Protokoll-Version und diverse andere Parameter übertragen. Es ist nicht vorgesehen, daß die Software dahinter meldet, wer sie ist. von daher würde man, wenn man es überhaupt über die Verbindung feststellen könnte nur erfahren, wenn die Gegenseite kooperativ ist. Ansonsten muß man halt einfach mal prüfen, ob der Exploit funktioniert. Dann weiß man, ob die Gegenstelle anfällig ist.

lks

Nachtrag: heise beschreibt, wie der Exploit funktioniert. Du kannst einfach mal Deine gegenstellen damit abprüfen, ob die korrekt oder falsch antworten.
Bitte warten ..
Mitglied: Aegnor
11.04.2014 um 15:47 Uhr
Hallo brammer,

genau darum geht es. Rückwirkend war aus den Logs mit eingestellten Log-Level 4 nichts herauszulesen. Die nachträgliche Erhöhung hat leider keine verwertbaren Informationen gegeben um die Remoteversion auszulesen.

@aqui
Das es sich um die Remoteseite, wie ich auch geschrieben habe handelt, ist mein OS wohl er nicht von belang.

Aegnor
Bitte warten ..
Mitglied: aqui
11.04.2014 um 16:18 Uhr
...doch, denn die encrypten ja auch mit Openssl. Es ist also sehr wohl von Belang !
Aber oben weist du ja nun wie man es im Handumdrehen rausbekommt.
Bitte warten ..
Mitglied: Lochkartenstanzer
11.04.2014 um 16:29 Uhr
Zitat von aqui:

...doch, denn die encrypten ja auch mit Openssl. Es ist also sehr wohl von Belang !

Daß die OpenVPN-Gegenstellen mit openSSL encrypten ist ja schon impliziert. Aber das Protokoll sieht nicht vor, daß die Gegenstelle meldet, welche Softwareversion da werkelt, sondern nur welche (SSL-)Protokollversion., soweit ich das herauslese Von daher erwarte ich nicht, daß man nur mit den Logdaten feststellen kann, welche openSSL/VPN-version auf der Gegenstelle werkelt.

lks
Bitte warten ..
Mitglied: Alchimedes
11.04.2014 um 20:09 Uhr
Hallo ,

openssl s_client -connect <ip>:443

Gruss
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
Welche pfsense Version für Dual-Wan Router mit APU2C4 installieren (5)

Frage von Roland30 zum Thema Router & Routing ...

Router & Routing
OpenVpn Verbindung Synology NAS hinter Zywall USG 40 (2)

Frage von Tirgel zum Thema Router & Routing ...

Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (3)

Frage von Aubanan zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...