이 글을 쓰는 시점(2일차)에는 다음 페이지와 같이 Apache 및 기타 웹 서버에 대한 Logjam을 완화하는 방법에 대한 정확한 지침이 거의 없습니다.
https://weakdh.org/sysadmin.html
OpenVPN 서버에 대한 유사한 지침은 무엇입니까?
OpenVPN은 전혀 영향을 받지 않나요? (TLS 프로토콜 문제이므로 그렇다고 생각합니다.)
답변1
공격은 다음과 같은 이유로 매우 제한된 방식으로만 OpenVPN에 영향을 미칩니다.
- OpenVPN은 사용자가 일반 그룹을 사용하는 대신 'openssl dhparam'을 사용하여 자체 DH 그룹을 생성하도록 권장합니다. 1024비트 DH 키(최근 2048로 업데이트됨)를 제공하는 데 사용되는 매뉴얼 페이지/예제는 1024비트 dh 매개변수가 깨질 수 있지만 여전히 매우 비쌉니다. 그룹을 다른 사람과 공유하지 않으면 데이터 비용이 너무 많이 들 수 있습니다.
- OpenVPN은 EXPORT DH 매개변수를 지원하지 않으므로 TLS 롤백 공격은 OpenVPN에 적용되지 않습니다.
안전을 확보하려면 최소 2048비트의 DH 매개변수를 사용하세요. DH 매개변수 업데이트는 쉽고 서버에서만 변경하면 됩니다. 예를 들어 새 매개변수를 생성합니다.
$ openssl dhparam -out dh3072.pem 3072
그런 다음 이러한 새 매개변수를 사용하도록 서버 구성을 업데이트하세요.
dh dh3072.pem
그리고 서버를 다시 시작하세요.
답변2
간단히 말해서 다음 사항을 참고로 사용할 수 있습니다.
- DH 매개변수 키의 크기가 2048비트보다 큰지 확인하세요. 그렇지 않은 경우 다시 생성해야 합니다.
- OpenVPN 구성 파일의 설정을 덮어쓰지 않았는지 확인
tls-cipher하거나, 덮어쓰인 경우 취약한 내보내기 등급 암호화가 포함되지 않았는지 확인하세요. (구성에 전혀 정의되어 있지 않은 경우 설치된 OpenVPN 버전에 대해 지원되는 암호 목록은 다음 명령줄을 사용하여 확인할 수 있습니다openvpn --show-tls. - 최신 버전의 OpenSSL이 설치되어 있는지 확인하십시오. 현재 시점에서는 1.0.2a 입니다. 이 버전에서는 내보내기 암호화 기능이 비활성화되어 있지만 여전히 더 약한 DH 키를 사용할 수 있습니다.
추신: 나는 다음과 같은 글을 썼다.블로그 게시물그것에 대해 위에 주어진 tl;dr의 확장 버전이 나와 있습니다.