Come risolvere la vulnerabilità di Logjam nella configuration del server OpenVPN?

A partire da questa scrittura (Day-2), ci sono pochissime indicazioni precise su come attenuare Logjam per Apache e altri server web, come questa pagina:

https://weakdh.org/sysadmin.html

  • L'automazione OpenVPN easy-rsa build-key?
  • Quanto è sicura una connessione VPN tramite WiFi?
  • OpenVPN non è in grado di eseguire il certificato self-signed su udp, funziona su tcp
  • ProFTPD - Imansible recuperare l'elenco delle directory durante l'utilizzo di TLS
  • OpenVPN non può accedere a Internet (probabilmente errore di configuration)
  • Perché Windows CA Server rilascia più certificati per lo stesso utente?
  • Quali sono le istruzioni simili per i server OpenVPN?

    OpenVPN è affetto? (Credo sì poiché è un problema del protocollo TLS).

  • Correggere la vulnerabilità logjam nel corriere
  • Comando non valido 'SSLOpenSSLConfCmd', forse errato o definito da un module non incluso nella configuration del server
  • Come risolvere la vulnerabilità di Logjam con MySQL
  • Ci sono vantaggi in termini di sicurezza per la distribuzione di gruppi personalizzati DHH SS a sisthemes client-only?
  • Come fare JBoss 5.1.0 GA Conforms agli standard Diffie-Hellman?
  • 2 Solutions collect form web for “Come risolvere la vulnerabilità di Logjam nella configuration del server OpenVPN?”

    Gli attacchi riguardano solo OpenVPN in modi molto limitati, in quanto:

    1. OpenVPN incoraggia gli utenti a generare un proprio gruppo DH utilizzando 'openssl dhparam', invece di utilizzare gruppi comuni. La pagina uomo / esempi utilizzati per fornire chiavi DH da 1024 bit (aggiornato al 2048 recentemente), e sebbene 1024 bit dh params possa essere interrotto, che è ancora molto costoso. Probabilmente troppo costoso per i tuoi dati se non condividi il gruppo con altri.
    2. OpenVPN non support i parametri di EXPORT DH e quindi l'attacco di rollback TLS non si applica a OpenVPN.

    Per essere sul lato sicuro, utilizzare i parametri DH da alless 2048 bit. L'aggiornamento dei parametri DH è semplice e richiede solo una modifica sul server. Genera nuovi params utilizzando ad esempio

    $ openssl dhparam -out dh3072.pem 3072 

    quindi aggiornare il config del server per utilizzare questi nuovi parametri

     dh dh3072.pem 

    e riavviare il server.

    In breve, i seguenti punti possono essere utilizzati come riferimento:

    • Assicurarsi che il tasto DHAM params sia> 2048 bit di dimensione. In caso contrario, dovrebbe essere ricreato.
    • Assicurarsi che l'impostazione tls-cipher nel file di configuration OpenVPN non sia sovrascritta, o se è presente, che non siano incluse cifre deboli e di tipo export-grade. (Se non è definito affatto nella configuration, è ansible controllare l'elenco delle cifre supportte per la versione di OpenVPN installato con la row di command: openvpn --show-tls .
    • Assicurarsi che sia installata l'ultima versione di OpenSSL. A questo punto è 1.0.2a. La funzionalità di cifratura di esportzione è disabilitata in questa versione, ma consente comunque l'utilizzo di chiavi DH più deboli.

    PS: Ho scritto un post sul blog che dice che è la versione espansa del tl; dr dato sopra.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.