Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OpenVPN-OpenSSL Version des Partners erkennen

Frage Sicherheit

Mitglied: Aegnor

Aegnor (Level 1) - Jetzt verbinden

11.04.2014, aktualisiert 15:48 Uhr, 2633 Aufrufe, 10 Kommentare

Hallo,

durch das Problem von OpenSSL "Heartbleed" frage ich mich, wie ich erkennen welche Version von OpenVPN mein Kommunikationspartner hat.

Zum Hintergrund:

Ich hatte eine betroffene OpenVPN Version im Einsatz, die ich zwischenzeitig aktualisiert habe. Wenn meine Partner (auch noch) betroffene Versionen im Einsatz haben, sind doch möglicherweise die Schlüssel jetzt ggf. bekannt. Damit ich nicht unnötiger Weise alle Zertifikate austauschen muss, interessiert mich, wie ich das feststellen kann.

Selbst wenn man den Log-Level auf Maximum stellt, sehe ich nur meine Version.

Habt ihr eine Idee?

Mitglied: Lochkartenstanzer
11.04.2014, aktualisiert um 13:48 Uhr
Zitat von Aegnor:

Habt ihr eine Idee?

Einfach anrufen und fragen?

oder ist das keine Option?

lks
Bitte warten ..
Mitglied: aqui
11.04.2014, aktualisiert um 14:12 Uhr
Welches OS benutzt du denn für OVPN. Oder sollen wir da die Kristallkugel befragen bei dem sinnfreien Thread ??
Bei Winblows ist das:
Windows-Explorerfenster öffen, den Ordner C:\Program Files\OpenVPN\bin, mit der rechten Maustaste auf die Datei libeay32.dll und prüfen im Bereich "Details/Product Version" das die verwendete OpenSSL-Version anzeigt.
Findet Dr. Google in 3 Sekunden:
http://www.heise.de/newsticker/meldung/OpenVPN-schliesst-Heartbleed-Sic ...
Bei Linux usw. ist das das Kommando "version"
root@raspberry:/home/pi# openssl
OpenSSL> version
OpenSSL 1.0.1e 11 Feb 2013
OpenSSL>

Kann man sich auch selber ohne Forumsthread erschliessen wenn man nachdenkt...

Wenn das denn nun alles war bitte
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: Hitman4021
11.04.2014 um 14:12 Uhr
Hallo,

ich würde alle Zertifikate tauschen - da mit ziemlicher Sicherheit diese Lücke vorhanden war bzw. noch ist.
Immerhin gibt es das Problem nun schon 2 Jahre.

@aqui ich glaube er will die Remote Version auslesen.

Grüße
Bitte warten ..
Mitglied: aqui
11.04.2014, aktualisiert um 14:14 Uhr
...geht ja genau so wenn er da mit RDP oder VNC oder was auch immer raufkommt...oder wie Kollege lks schon sagt den remoten User einfach mal anruft und ihn obige Kommandos ausführen lässt...
Bitte warten ..
Mitglied: brammer
LÖSUNG 11.04.2014, aktualisiert um 15:48 Uhr
Hallo,

oder geht es darum das du die Tunnel die mit einer anfälligen Open VPN - Open SSL Version kommen blocken willst?

Den Sinn dahinter sehe ich durchaus, aber ob die Version zurückgemeldet wird, weiß ich nicht, da ich Open SSL nicht einsetze.

brammer
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 11.04.2014, aktualisiert 12.04.2014
Zitat von brammer:

Den Sinn dahinter sehe ich durchaus, aber ob die Version zurückgemeldet wird, weiß ich nicht, da ich Open SSL nicht einsetze.

Wenn ich den RFC zu SSL richtig lese, werden nur die Protokoll-Version und diverse andere Parameter übertragen. Es ist nicht vorgesehen, daß die Software dahinter meldet, wer sie ist. von daher würde man, wenn man es überhaupt über die Verbindung feststellen könnte nur erfahren, wenn die Gegenseite kooperativ ist. Ansonsten muß man halt einfach mal prüfen, ob der Exploit funktioniert. Dann weiß man, ob die Gegenstelle anfällig ist.

lks

Nachtrag: heise beschreibt, wie der Exploit funktioniert. Du kannst einfach mal Deine gegenstellen damit abprüfen, ob die korrekt oder falsch antworten.
Bitte warten ..
Mitglied: Aegnor
11.04.2014 um 15:47 Uhr
Hallo brammer,

genau darum geht es. Rückwirkend war aus den Logs mit eingestellten Log-Level 4 nichts herauszulesen. Die nachträgliche Erhöhung hat leider keine verwertbaren Informationen gegeben um die Remoteversion auszulesen.

@aqui
Das es sich um die Remoteseite, wie ich auch geschrieben habe handelt, ist mein OS wohl er nicht von belang.

Aegnor
Bitte warten ..
Mitglied: aqui
11.04.2014 um 16:18 Uhr
...doch, denn die encrypten ja auch mit Openssl. Es ist also sehr wohl von Belang !
Aber oben weist du ja nun wie man es im Handumdrehen rausbekommt.
Bitte warten ..
Mitglied: Lochkartenstanzer
11.04.2014 um 16:29 Uhr
Zitat von aqui:

...doch, denn die encrypten ja auch mit Openssl. Es ist also sehr wohl von Belang !

Daß die OpenVPN-Gegenstellen mit openSSL encrypten ist ja schon impliziert. Aber das Protokoll sieht nicht vor, daß die Gegenstelle meldet, welche Softwareversion da werkelt, sondern nur welche (SSL-)Protokollversion., soweit ich das herauslese Von daher erwarte ich nicht, daß man nur mit den Logdaten feststellen kann, welche openSSL/VPN-version auf der Gegenstelle werkelt.

lks
Bitte warten ..
Mitglied: Alchimedes
11.04.2014 um 20:09 Uhr
Hallo ,

openssl s_client -connect <ip>:443

Gruss
Bitte warten ..
Neuester Wissensbeitrag
Off Topic

"Ich habe nichts zu verbergen"

(2)

Erfahrungsbericht von FA-jka zum Thema Off Topic ...

Ähnliche Inhalte
SAN, NAS, DAS
gelöst Synology Version 6.1 Probleme (18)

Frage von Hendrik2586 zum Thema SAN, NAS, DAS ...

Windows Server
gelöst SQL Server 2016 User CALs auch für ältere SQL-Server-Version nutzbar? (3)

Frage von Jeiko71 zum Thema Windows Server ...

Backup
gelöst Backup Exec 16 Geräte erkennen hängt (3)

Frage von Chonta zum Thema Backup ...

Heiß diskutierte Inhalte
CPU, RAM, Mainboards
Kaufberatung für mind. 8 verschiedene HighEnd-Mainboards (24)

Frage von yperiu zum Thema CPU, RAM, Mainboards ...

Netzwerke
Abisolierwerkzeug (11)

Frage von SarekHL zum Thema Netzwerke ...

Hyper-V
Langsames Netzwerk i210 LAN Karte (11)

Frage von Akcent zum Thema Hyper-V ...

Windows Server
Server 2016 - Kuriositäten (8)

Frage von certifiedit.net zum Thema Windows Server ...