如何修復 OpenVPN 伺服器配置中的 Logjam 漏洞？

Question 1

這些攻擊僅以非常有限的方式影響 OpenVPN，因為：

OpenVPN 鼓勵使用者使用「openssl dhparam」產生自己的 DH 群組，而不是使用通用群組。手冊頁/範例用於提供 1024 位元 DH 金鑰（最近更新為 2048），儘管 1024 位元 dh 參數可以被破壞，但這仍然非常昂貴。如果您不與其他人共享該群組，那麼您的資料可能會太昂貴。
OpenVPN 不支援 EXPORT DH 參數，因此 TLS 回滾攻擊不適用於 OpenVPN。

為了安全起見，請使用至少 2048 位元的 DH 參數。更新DH參數很簡單，只需要在伺服器上進行更改。使用例如產生新參數

$ openssl dhparam -out dh3072.pem 3072

然後更新您的伺服器配置以使用這些新參數

dh dh3072.pem

並重新啟動伺服器。

Answer

這些攻擊僅以非常有限的方式影響 OpenVPN，因為：

OpenVPN 鼓勵使用者使用「openssl dhparam」產生自己的 DH 群組，而不是使用通用群組。手冊頁/範例用於提供 1024 位元 DH 金鑰（最近更新為 2048），儘管 1024 位元 dh 參數可以被破壞，但這仍然非常昂貴。如果您不與其他人共享該群組，那麼您的資料可能會太昂貴。
OpenVPN 不支援 EXPORT DH 參數，因此 TLS 回滾攻擊不適用於 OpenVPN。

為了安全起見，請使用至少 2048 位元的 DH 參數。更新DH參數很簡單，只需要在伺服器上進行更改。使用例如產生新參數

$ openssl dhparam -out dh3072.pem 3072

然後更新您的伺服器配置以使用這些新參數

dh dh3072.pem

並重新啟動伺服器。

Question 2

簡單來說，以下幾點可以作為參考：

確保 DH params 金鑰的大小 >= 2048 位元。如果沒有，則應重新產生。
確保tls-cipherOpenVPN 設定檔中的設定不被覆蓋，或者如果被覆蓋，則不包含弱密碼和出口級密碼。（如果設定中根本沒有定義，可以使用命令列檢查已安裝的 OpenVPN 版本支援的密碼清單：openvpn --show-tls。
確保安裝了最新版本的 OpenSSL。此時，它是 1.0.2a。此版本會停用匯出密碼功能，但仍允許使用較弱的 DH 金鑰。

PS：我寫了一個部落格文章關於它，它是上面給出的 tl;dr 的擴展版本。

Answer

簡單來說，以下幾點可以作為參考：

確保 DH params 金鑰的大小 >= 2048 位元。如果沒有，則應重新產生。
確保tls-cipherOpenVPN 設定檔中的設定不被覆蓋，或者如果被覆蓋，則不包含弱密碼和出口級密碼。（如果設定中根本沒有定義，可以使用命令列檢查已安裝的 OpenVPN 版本支援的密碼清單：openvpn --show-tls。
確保安裝了最新版本的 OpenSSL。此時，它是 1.0.2a。此版本會停用匯出密碼功能，但仍允許使用較弱的 DH 金鑰。

PS：我寫了一個部落格文章關於它，它是上面給出的 tl;dr 的擴展版本。

相關內容