10
OpenVPN-OpenSSL Version des Partners erkennen
Hallo,
durch das Problem von OpenSSL "Heartbleed" frage ich mich, wie ich erkennen welche Version von OpenVPN mein Kommunikationspartner hat.
Zum Hintergrund:
Ich hatte eine betroffene OpenVPN Version im Einsatz, die ich zwischenzeitig aktualisiert habe. Wenn meine Partner (auch noch) betroffene Versionen im Einsatz haben, sind doch möglicherweise die Schlüssel jetzt ggf. bekannt. Damit ich nicht unnötiger Weise alle Zertifikate austauschen muss, interessiert mich, wie ich das feststellen kann.
Selbst wenn man den Log-Level auf Maximum stellt, sehe ich nur meine Version.
Habt ihr eine Idee?
durch das Problem von OpenSSL "Heartbleed" frage ich mich, wie ich erkennen welche Version von OpenVPN mein Kommunikationspartner hat.
Zum Hintergrund:
Ich hatte eine betroffene OpenVPN Version im Einsatz, die ich zwischenzeitig aktualisiert habe. Wenn meine Partner (auch noch) betroffene Versionen im Einsatz haben, sind doch möglicherweise die Schlüssel jetzt ggf. bekannt. Damit ich nicht unnötiger Weise alle Zertifikate austauschen muss, interessiert mich, wie ich das feststellen kann.
Selbst wenn man den Log-Level auf Maximum stellt, sehe ich nur meine Version.
Habt ihr eine Idee?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 235302
Url: https://administrator.de/contentid/235302
Ausgedruckt am: 25.11.2024 um 12:11 Uhr
10 Kommentare
Neuester Kommentar
Welches OS benutzt du denn für OVPN. Oder sollen wir da die Kristallkugel befragen bei dem sinnfreien Thread ??
Bei Winblows ist das:
Windows-Explorerfenster öffen, den Ordner C:\Program Files\OpenVPN\bin, mit der rechten Maustaste auf die Datei libeay32.dll und prüfen im Bereich "Details/Product Version" das die verwendete OpenSSL-Version anzeigt.
Findet Dr. Google in 3 Sekunden:
http://www.heise.de/newsticker/meldung/OpenVPN-schliesst-Heartbleed-Sic ...
Bei Linux usw. ist das das Kommando "version"
root@raspberry:/home/pi# openssl
OpenSSL> version
OpenSSL 1.0.1e 11 Feb 2013
OpenSSL>
Kann man sich auch selber ohne Forumsthread erschliessen wenn man nachdenkt...
Wenn das denn nun alles war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Bei Winblows ist das:
Windows-Explorerfenster öffen, den Ordner C:\Program Files\OpenVPN\bin, mit der rechten Maustaste auf die Datei libeay32.dll und prüfen im Bereich "Details/Product Version" das die verwendete OpenSSL-Version anzeigt.
Findet Dr. Google in 3 Sekunden:
http://www.heise.de/newsticker/meldung/OpenVPN-schliesst-Heartbleed-Sic ...
Bei Linux usw. ist das das Kommando "version"
root@raspberry:/home/pi# openssl
OpenSSL> version
OpenSSL 1.0.1e 11 Feb 2013
OpenSSL>
Kann man sich auch selber ohne Forumsthread erschliessen wenn man nachdenkt...
Wenn das denn nun alles war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Hallo,
ich würde alle Zertifikate tauschen - da mit ziemlicher Sicherheit diese Lücke vorhanden war bzw. noch ist.
Immerhin gibt es das Problem nun schon 2 Jahre.
@aqui ich glaube er will die Remote Version auslesen.
Grüße
ich würde alle Zertifikate tauschen - da mit ziemlicher Sicherheit diese Lücke vorhanden war bzw. noch ist.
Immerhin gibt es das Problem nun schon 2 Jahre.
@aqui ich glaube er will die Remote Version auslesen.
Grüße
...geht ja genau so wenn er da mit RDP oder VNC oder was auch immer raufkommt...oder wie Kollege lks schon sagt den remoten User einfach mal anruft und ihn obige Kommandos ausführen lässt... 
Hallo,
oder geht es darum das du die Tunnel die mit einer anfälligen Open VPN - Open SSL Version kommen blocken willst?
Den Sinn dahinter sehe ich durchaus, aber ob die Version zurückgemeldet wird, weiß ich nicht, da ich Open SSL nicht einsetze.
brammer
oder geht es darum das du die Tunnel die mit einer anfälligen Open VPN - Open SSL Version kommen blocken willst?
Den Sinn dahinter sehe ich durchaus, aber ob die Version zurückgemeldet wird, weiß ich nicht, da ich Open SSL nicht einsetze.
brammer
Zitat von @brammer:
Den Sinn dahinter sehe ich durchaus, aber ob die Version zurückgemeldet wird, weiß ich nicht, da ich Open SSL nicht einsetze.
Den Sinn dahinter sehe ich durchaus, aber ob die Version zurückgemeldet wird, weiß ich nicht, da ich Open SSL nicht einsetze.
Wenn ich den RFC zu SSL richtig lese, werden nur die Protokoll-Version und diverse andere Parameter übertragen. Es ist nicht vorgesehen, daß die Software dahinter meldet, wer sie ist. von daher würde man, wenn man es überhaupt über die Verbindung feststellen könnte nur erfahren, wenn die Gegenseite kooperativ ist. Ansonsten muß man halt einfach mal prüfen, ob der Exploit funktioniert. Dann weiß man, ob die Gegenstelle anfällig ist.
lks
Nachtrag: heise beschreibt, wie der Exploit funktioniert. Du kannst einfach mal Deine gegenstellen damit abprüfen, ob die korrekt oder falsch antworten.
Hallo brammer,
genau darum geht es. Rückwirkend war aus den Logs mit eingestellten Log-Level 4 nichts herauszulesen. Die nachträgliche Erhöhung hat leider keine verwertbaren Informationen gegeben um die Remoteversion auszulesen.
@aqui
Das es sich um die Remoteseite, wie ich auch geschrieben habe handelt, ist mein OS wohl er nicht von belang.
Aegnor
genau darum geht es. Rückwirkend war aus den Logs mit eingestellten Log-Level 4 nichts herauszulesen. Die nachträgliche Erhöhung hat leider keine verwertbaren Informationen gegeben um die Remoteversion auszulesen.
@aqui
Das es sich um die Remoteseite, wie ich auch geschrieben habe handelt, ist mein OS wohl er nicht von belang.
Aegnor
...doch, denn die encrypten ja auch mit Openssl. Es ist also sehr wohl von Belang !
Aber oben weist du ja nun wie man es im Handumdrehen rausbekommt.
Aber oben weist du ja nun wie man es im Handumdrehen rausbekommt.
Daß die OpenVPN-Gegenstellen mit openSSL encrypten ist ja schon impliziert. Aber das Protokoll sieht nicht vor, daß die Gegenstelle meldet, welche Softwareversion da werkelt, sondern nur welche (SSL-)Protokollversion., soweit ich das herauslese Von daher erwarte ich nicht, daß man nur mit den Logdaten feststellen kann, welche openSSL/VPN-version auf der Gegenstelle werkelt.
lks
Hallo ,
openssl s_client -connect <ip>:443
Gruss
openssl s_client -connect <ip>:443
Gruss
