Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OpenVPN-OpenSSL Version des Partners erkennen

Frage Sicherheit

Mitglied: Aegnor

Aegnor (Level 1) - Jetzt verbinden

11.04.2014, aktualisiert 15:48 Uhr, 2829 Aufrufe, 10 Kommentare

Hallo,

durch das Problem von OpenSSL "Heartbleed" frage ich mich, wie ich erkennen welche Version von OpenVPN mein Kommunikationspartner hat.

Zum Hintergrund:

Ich hatte eine betroffene OpenVPN Version im Einsatz, die ich zwischenzeitig aktualisiert habe. Wenn meine Partner (auch noch) betroffene Versionen im Einsatz haben, sind doch möglicherweise die Schlüssel jetzt ggf. bekannt. Damit ich nicht unnötiger Weise alle Zertifikate austauschen muss, interessiert mich, wie ich das feststellen kann.

Selbst wenn man den Log-Level auf Maximum stellt, sehe ich nur meine Version.

Habt ihr eine Idee?

Mitglied: Lochkartenstanzer
11.04.2014, aktualisiert um 13:48 Uhr
Zitat von Aegnor:

Habt ihr eine Idee?

Einfach anrufen und fragen?

oder ist das keine Option?

lks
Bitte warten ..
Mitglied: aqui
11.04.2014, aktualisiert um 14:12 Uhr
Welches OS benutzt du denn für OVPN. Oder sollen wir da die Kristallkugel befragen bei dem sinnfreien Thread ??
Bei Winblows ist das:
Windows-Explorerfenster öffen, den Ordner C:\Program Files\OpenVPN\bin, mit der rechten Maustaste auf die Datei libeay32.dll und prüfen im Bereich "Details/Product Version" das die verwendete OpenSSL-Version anzeigt.
Findet Dr. Google in 3 Sekunden:
http://www.heise.de/newsticker/meldung/OpenVPN-schliesst-Heartbleed-Sic ...
Bei Linux usw. ist das das Kommando "version"
root@raspberry:/home/pi# openssl
OpenSSL> version
OpenSSL 1.0.1e 11 Feb 2013
OpenSSL>

Kann man sich auch selber ohne Forumsthread erschliessen wenn man nachdenkt...

Wenn das denn nun alles war bitte
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: Hitman4021
11.04.2014 um 14:12 Uhr
Hallo,

ich würde alle Zertifikate tauschen - da mit ziemlicher Sicherheit diese Lücke vorhanden war bzw. noch ist.
Immerhin gibt es das Problem nun schon 2 Jahre.

@aqui ich glaube er will die Remote Version auslesen.

Grüße
Bitte warten ..
Mitglied: aqui
11.04.2014, aktualisiert um 14:14 Uhr
...geht ja genau so wenn er da mit RDP oder VNC oder was auch immer raufkommt...oder wie Kollege lks schon sagt den remoten User einfach mal anruft und ihn obige Kommandos ausführen lässt...
Bitte warten ..
Mitglied: brammer
LÖSUNG 11.04.2014, aktualisiert um 15:48 Uhr
Hallo,

oder geht es darum das du die Tunnel die mit einer anfälligen Open VPN - Open SSL Version kommen blocken willst?

Den Sinn dahinter sehe ich durchaus, aber ob die Version zurückgemeldet wird, weiß ich nicht, da ich Open SSL nicht einsetze.

brammer
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 11.04.2014, aktualisiert 12.04.2014
Zitat von brammer:

Den Sinn dahinter sehe ich durchaus, aber ob die Version zurückgemeldet wird, weiß ich nicht, da ich Open SSL nicht einsetze.

Wenn ich den RFC zu SSL richtig lese, werden nur die Protokoll-Version und diverse andere Parameter übertragen. Es ist nicht vorgesehen, daß die Software dahinter meldet, wer sie ist. von daher würde man, wenn man es überhaupt über die Verbindung feststellen könnte nur erfahren, wenn die Gegenseite kooperativ ist. Ansonsten muß man halt einfach mal prüfen, ob der Exploit funktioniert. Dann weiß man, ob die Gegenstelle anfällig ist.

lks

Nachtrag: heise beschreibt, wie der Exploit funktioniert. Du kannst einfach mal Deine gegenstellen damit abprüfen, ob die korrekt oder falsch antworten.
Bitte warten ..
Mitglied: Aegnor
11.04.2014 um 15:47 Uhr
Hallo brammer,

genau darum geht es. Rückwirkend war aus den Logs mit eingestellten Log-Level 4 nichts herauszulesen. Die nachträgliche Erhöhung hat leider keine verwertbaren Informationen gegeben um die Remoteversion auszulesen.

@aqui
Das es sich um die Remoteseite, wie ich auch geschrieben habe handelt, ist mein OS wohl er nicht von belang.

Aegnor
Bitte warten ..
Mitglied: aqui
11.04.2014 um 16:18 Uhr
...doch, denn die encrypten ja auch mit Openssl. Es ist also sehr wohl von Belang !
Aber oben weist du ja nun wie man es im Handumdrehen rausbekommt.
Bitte warten ..
Mitglied: Lochkartenstanzer
11.04.2014 um 16:29 Uhr
Zitat von aqui:

...doch, denn die encrypten ja auch mit Openssl. Es ist also sehr wohl von Belang !

Daß die OpenVPN-Gegenstellen mit openSSL encrypten ist ja schon impliziert. Aber das Protokoll sieht nicht vor, daß die Gegenstelle meldet, welche Softwareversion da werkelt, sondern nur welche (SSL-)Protokollversion., soweit ich das herauslese Von daher erwarte ich nicht, daß man nur mit den Logdaten feststellen kann, welche openSSL/VPN-version auf der Gegenstelle werkelt.

lks
Bitte warten ..
Mitglied: Alchimedes
11.04.2014 um 20:09 Uhr
Hallo ,

openssl s_client -connect <ip>:443

Gruss
Bitte warten ..
Ähnliche Inhalte
Firewall
Pfsense 2.4.2 openvpn, welche Version openvpn ist enthalten
gelöst Frage von horstvogelFirewall2 Kommentare

Hallo, welche Version von OpenVPN läuft eigentlich auf der Pfsense 2.4.2. Das Paket Client Export zeigt die Version jeweils ...

Verschlüsselung & Zertifikate
Angabe Zertifikatstyp in OpenSSL
Frage von supernickyVerschlüsselung & Zertifikate1 Kommentar

Hallo, ich habe mir mit OpenSSL eine CA aufgebaut und damit Zertifikate zum signieren und verschlüsseln von Email erstellt, ...

PHP
PHP Openssl openssl error string zeigt sinnlose Informationen an
Frage von StefanKittelPHP3 Kommentare

Hallo, ich teste gerade eine Klasse mit Openssl in PHP 7.1. Dabei ist mir aufgefallen, dass openssl_error_string nur sinnlose ...

Festplatten, SSD, Raid
Wie erkenne ich ein RAID?
gelöst Frage von Hendrik2586Festplatten, SSD, Raid8 Kommentare

Guten Morgen an alle. :) Kurze Frage zum Thema Raid. Unser Server hat insgesamt 12 Platten á 450 GB. ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 15 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 20 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 20 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Windows XP
Windows XP Aktivieren geht nicht
Frage von tetikmiroWindows XP13 Kommentare

Hallo Ich habe einen Windows XP mit einen vCenter Converter umgezogen auf eine ESXI. Soweit funktioniert dies auch ohne ...

Blogs
Immer wiederkehrende PHP Fehlermeldung bei Wordpress UTF-8 - ASCII
gelöst Frage von vcdweltBlogs11 Kommentare

Hi, seit einiger Zeit wird mein error_log meines Wordpress Blogs mit immer der gleichen Fehlermeldung überschwemmt. 14-Dec-2017 08:18:05 UTC ...

Switche und Hubs
Redundante L2 LWL Leitung über 2 Standorte - Spanning Tree - HP Equipment
gelöst Frage von ResolvSwitche und Hubs10 Kommentare

Hallo, ich stehe vor der Herausforderung eine Redundante L2 LWL Leitung über 2 Standorte herzustellen. Grundsätzliches Switching Know How ...