george44
Goto Top

Pfsense meldet "Deprecated Code" in FreeBSD13

Liebe Gemeinde,

auf der Linuxkonsole präsentiert pfsense seit dem letzten Update immer wiederholend die Meldung:
"deprecated code (to be removed in freebsd 13) 3des cipher for ipsec" -

-> also gibt es da wohl igendwo abgelaufenen Code für meine ipsec-Verbindungen

Aber wie finde ich den? Habe ich Handlungsbedarf oder geht das mehr an die pfsense-Entwickler?
Im Pfsense-Frontend sehe ich jedenfalls keine Hinweise ...

Ratlos
Georg

Content-Key: 665034

Url: https://administrator.de/contentid/665034

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: 147669
Lösung 147669 23.03.2021 aktualisiert um 13:03:57 Uhr
Goto Top
Zitat von @george44:
auf der Linuxkonsole präsentiert pfsense seit dem letzten Update immer wiederholend die Meldung:
"deprecated code (to be removed in freebsd 13) 3des cipher for ipsec" -

-> also gibt es da wohl igendwo abgelaufenen Code für meine ipsec-Verbindungen
Damit ist gemeint das die 3des Verschlüsselung als veraltet markiert wurde und zukünftig nicht mehr zur Verfügung stehen wird. Wenn du diese also noch in irgendeiner Form auf deiner pFSense nutzt (in VPN Verbindungen [IPSec/OpenVPN) oder anderen installierten Paketen) oder den Peers auch nur zur Nutzung anbietest solltest du in naher Zukunft besser die Cipher austauschen.
Aber wie finde ich den? Habe ich Handlungsbedarf oder geht das mehr an die pfsense-Entwickler?
Checke mal was du an angelegten VPN Verbindungen hast und ob dort in irgendeiner Form die 3DES Verschlüsselung noch aktiv den Peers anbietest. Wenn ja dann update die freigegebenen Ciphers. Zusätzlich prüfe was du sonst noch an AddOns installiert hast und ob diese die veraltete Cipher noch nutzen.
Es ist halt ein Hinweis auf ein nahendes Supportende dieser Cipher in TLS und IPSec. Handlungsbedarf besteht nur wenn du es auch tatsächlich nutzt und in Zukunft keine Probleme bei Updates haben willst.

Gruß SK
Mitglied: george44
george44 23.03.2021 um 13:54:45 Uhr
Goto Top
Hallo SchmitzK,

Danke für die rasche, klare und gut nachvollziehbare Antwort.

Ich konnte das Problem lokalisieren: von meinen drei VPN-Konfigurationen benutze ich einmal noch 3DES - schon etwas länger ...
Werde das jetzt mal mit der anderen Seite besprechen müssen - welches neue Protokoll soll ich am besten vorschlagen?

Gruss
G
Mitglied: 147669
Lösung 147669 23.03.2021 aktualisiert um 14:02:06 Uhr
Goto Top
welches neue Protokoll soll ich am besten vorschlagen?
Kommt drauf an wo Phase1, Phase2?!

Üblich sind heute die AES Ciphers meist AES128/256 mit SHA1/SHA256, halt je nach Gegenstelle , aber das die grundlegenden AES Ciphers sollte heute eigentlich fast jedes Device anbieten. Beachten sollte man natürlich auch die Rechenanforderungen für die Hashberechnung, ein SHA512 bedeutet bspw. ein wesentlichen CPU-Mehraufwand gegenüber SHA1/256, auch wenn keine AES-Hardwareunterstützung vorhanden ist.
Mitglied: george44
george44 23.03.2021 aktualisiert um 14:12:22 Uhr
Goto Top
Im Moment läuft bei dieser IPSec-Verbindung in Phase 1 der 3DES/768 bit und in Phase 2 ist AES/256 mit SHA512 eingestellt. Die Parameter wurden mir so vorgegeben ...

Meine CPU bietet alle möglichen Verschlüsselungsunterstützungen:
lt. Dashboard: "Hardware crypto AES-CBC,AES-CCM,AES-GCM,AES-ICM,AES-XTS"
(pfsense läuft virtualisiert auf einem Xeon-Server)
Aber da bin ich ja wohl auch von der anderen Seite abhängig.
Mitglied: 147669
Lösung 147669 23.03.2021 aktualisiert um 14:22:02 Uhr
Goto Top
Die Parameter wurden mir so vorgegeben ...
Ist ja wie gesagt auch kein Problem so lange man die pFSense nicht unvorbereitet aktualisiert, aber das Protokoll ist inzwischen wirklich uralt. Also das mal auf die pfSense Agenda schreiben und vor dem nächsten Update die Release Notes studieren ob diesbezüglich eine Entfernung aus den Ciphers vorgenommen wurde damit man damit dann nicht auf die Nase fällt face-wink.
Aber da bin ich ja wohl auch von der anderen Seite abhängig.
Wohl war.
Mitglied: aqui
Lösung aqui 23.03.2021 um 14:18:40 Uhr
Goto Top
Nein, nicht zwingend. Sofern die andere Seite mehrere Cipher Suites anbietet und du deine Seite auf Auto hast handeln die das jeweils Beste aus was sie gemeinsam können. Aber letztendlich ist es die andere Seite.
Du kannst den Admin ja mal fragen welch komische Logik ihn geritten hat im P1 ein uraltes unsicheres Verfahren zu wählen, in der P2 dann aber was halbwegs modernes. Geht irgendwie ja nicht wirklich zusammen....aber egal.
Mitglied: george44
george44 23.03.2021 um 15:06:01 Uhr
Goto Top
Zitat von @aqui:

Du kannst den Admin ja mal fragen welch komische Logik ihn geritten hat im P1 ein uraltes unsicheres Verfahren zu wählen, in der P2 dann aber was halbwegs modernes. Geht irgendwie ja nicht wirklich zusammen....aber egal.

Ich glaube, das wur nur die copy/paste Übernahme irgendeiner vorhandenen Konfiguration. Und dann haben wir auf der P2-Seite die Verschlüsselung irgendwann mal upgegradet ...
Mitglied: aqui
aqui 23.03.2021 um 18:11:17 Uhr
Goto Top
Wie gruselig ! face-wink