¿Cómo solucionar la vulnerabilidad Logjam en la configuración del servidor OpenVPN?

Question 1

Los ataques sólo afectan a OpenVPN de forma muy limitada porque:

OpenVPN anima a los usuarios a generar su propio grupo DH utilizando 'openssl dhparam', en lugar de utilizar grupos comunes. La página de manual/los ejemplos solían proporcionar claves DH de 1024 bits (actualizadas a 2048 recientemente), y aunque los parámetros dh de 1024 bits se pueden romper, sigue siendo muy costoso. Probablemente demasiado caro para tus datos si no compartes el grupo con otros.
OpenVPN no admite parámetros EXPORT DH y, por lo tanto, el ataque de reversión de TLS no se aplica a OpenVPN.

Para estar seguro, utilice parámetros DH de al menos 2048 bits. Actualizar los parámetros de DH es fácil y solo necesita un cambio en el servidor. Genere nuevos parámetros usando, por ejemplo

$ openssl dhparam -out dh3072.pem 3072

luego actualice la configuración de su servidor para usar estos nuevos parámetros

dh dh3072.pem

y reinicie el servidor.

Answer

Los ataques sólo afectan a OpenVPN de forma muy limitada porque:

OpenVPN anima a los usuarios a generar su propio grupo DH utilizando 'openssl dhparam', en lugar de utilizar grupos comunes. La página de manual/los ejemplos solían proporcionar claves DH de 1024 bits (actualizadas a 2048 recientemente), y aunque los parámetros dh de 1024 bits se pueden romper, sigue siendo muy costoso. Probablemente demasiado caro para tus datos si no compartes el grupo con otros.
OpenVPN no admite parámetros EXPORT DH y, por lo tanto, el ataque de reversión de TLS no se aplica a OpenVPN.

Para estar seguro, utilice parámetros DH de al menos 2048 bits. Actualizar los parámetros de DH es fácil y solo necesita un cambio en el servidor. Genere nuevos parámetros usando, por ejemplo

$ openssl dhparam -out dh3072.pem 3072

luego actualice la configuración de su servidor para usar estos nuevos parámetros

dh dh3072.pem

y reinicie el servidor.

Question 2

Brevemente, se pueden utilizar como referencia los siguientes puntos:

Asegúrese de que la clave de parámetros DH tenga un tamaño >= 2048 bits. En caso contrario, se debe volver a generar.
Asegúrese de que la tls-cipherconfiguración en el archivo de configuración de OpenVPN no se sobrescriba o, si lo es, que no se incluyan cifrados débiles ni de grado de exportación. (Si no está definido en absoluto en la configuración, la lista de cifrados admitidos para la versión de OpenVPN instalada se puede verificar con la línea de comando: openvpn --show-tls.
Asegúrese de que esté instalada la última versión de OpenSSL. En este momento, es 1.0.2a. La funcionalidad de cifrado de exportación está deshabilitada en esta versión, pero aún permite el uso de claves DH más débiles.

PD: escribí unentrada en el blogal respecto, lo que dice es la versión ampliada del tl;dr proporcionado anteriormente.

Answer

Brevemente, se pueden utilizar como referencia los siguientes puntos:

Asegúrese de que la clave de parámetros DH tenga un tamaño >= 2048 bits. En caso contrario, se debe volver a generar.
Asegúrese de que la tls-cipherconfiguración en el archivo de configuración de OpenVPN no se sobrescriba o, si lo es, que no se incluyan cifrados débiles ni de grado de exportación. (Si no está definido en absoluto en la configuración, la lista de cifrados admitidos para la versión de OpenVPN instalada se puede verificar con la línea de comando: openvpn --show-tls.
Asegúrese de que esté instalada la última versión de OpenSSL. En este momento, es 1.0.2a. La funcionalidad de cifrado de exportación está deshabilitada en esta versión, pero aún permite el uso de claves DH más débiles.

PD: escribí unentrada en el blogal respecto, lo que dice es la versión ampliada del tl;dr proporcionado anteriormente.

¿Cómo solucionar la vulnerabilidad Logjam en la configuración del servidor OpenVPN?

Respuesta1

Respuesta2

información relacionada