So, jetzt ist SSLv3 auch offiziell tot ...

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
PeterPawn

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
15,149
Punkte für Reaktionen
1,705
Punkte
113
http://tools.ietf.org/html/rfc7568

Stellt sich nun die Frage, was die ganzen Kunden mit alten gammeligen Routern machen sollen, die nur SSLv3 beherrschen.

Ich kann gerade nicht nachsehen, ob AVM's 7270v2/v3 - die in der 06.05 nur RC4 mit SHA oder MD5 beherrschen - das wenigstens "schon" als TLS(v1) unterstützen oder tatsächlich nur auf SSLv3 (im schlechtesten Fall sogar auf SSLv2 zusätzlich) reagieren - die dort verwendete OpenSSL-Version unterstützt es jedenfalls noch immer. Bleibt nur die Frage, wie verbreitet diese Boxen noch sind ... aber mit AVM-Firmware sollte man auf alle externen Zugriffsmöglichkeiten dort tunlichst verzichten.
 
Und wie sieht das bei der FB7170 aus?

Hängt das auch damit zusammen, daß ich mit Firefox nicht mehr per HTTPS auf einen Router WRT54GL1.1 mit alter FW DDWRT drauf komme? Ich muß immer den alten IE nehmen.
 
eisbaerin schrieb:
Hängt das auch damit zusammen, daß ich mit Firefox nicht mehr per HTTPS auf einen Router WRT54GL1.1 mit alter FW DDWRT drauf komme?
Zum Vergrößern anklicken....
Das halte ich für mehr als wahrscheinlich.

Die 7170 mit 04.88 hat eine so alte OpenSSL-Implementierung (das ist offiziell noch eine 0.9.8l aus dem Jahr 2009, zumindest die libssl.so) mit weitgehend unbekanntem Patch-Stand, daß die Verwendung außerhalb eines LAN ohnehin galoppierender Leichtsinn wäre.

Da die freien Browser seit einiger Zeit die unsicheren Verfahren deaktivieren, wäre das nur logisch, wenn es da zu Problemen kommt.
 
(Als Laie) lässt sich das nicht patchen? (D.h. aktuelles binary compilieren)
 
PeterPawn schrieb:
daß die Verwendung außerhalb eines LAN ohnehin galoppierender Leichtsinn wäre.
Zum Vergrößern anklicken....
Meinst du damit gar nicht mehr am DSL oder kein HTTPS (Fernwartung) mehr zum Internet öffnen?
VPN ist aber noch halbwegs sicher?
 
andiling schrieb:
(Als Laie) lässt sich das nicht patchen? (D.h. aktuelles binary compilieren)
Zum Vergrößern anklicken....
Bei der 7170 von AVM bin ich nicht sicher ... es ist auch weniger das Binary (wenn es überhaupt ein "openssl"-Binary gibt), es sind die libssl.so und die libcrypto.so ... das Binary ist nur die "Anwendung" der dort vorhandenen Funktionalität.

Wie gut oder schlecht das mit dem Ersetzen der AVM-Bibliotheken funktioniert, müßte man mal im Freetz recherchieren für diese alten Versionen ... die früher mal übliche "avmcrypt.so" (so hieß die glaube ich), ist inzwischen wohl Geschichte, aber ob die Libs einfach ausgetauscht werden können bei der 04.88, weiß ich nicht (mehr).
 
Bei Routern geht ja dann wenigstens noch das HTTP-Interface "von innen". Wir haben in der Fa. noch langlebige Drucktechnik, die mich tatsächlich intern zu einer gammligen SSL-Version zwingt. Für die habe ich dann einfach den letzten Netscape installiert. Bei unseren noch vereinzelt vorhandenen JetDirect-Printserverkarten, sind die Java-Applets so verschimmelt, dass ich "freiwillig" telnet benutzt habe.

Für die Alt-Router-Problematik könnte man sich ja mit HTTP und einem lokalen stunnel behelfen, wenn man denn unbedingt was unter TLS v1.2 benutzen will.
 
VPN (das IPSec von AVM jedenfalls) benutzt kein SSL, nur die verwendeten Algorithmen und auch die Bibliotheken sind dieselben, es wäre ja auch Unsinn, eine AES-Verschlüsselung mehrmals zu implementieren, der Vorgang ist ja identisch.

Die Schwachstellen im SSL beruhen i.d.R. (schwache Algorithmen mal ausgenommen, ein VPN mit DES und MD5 nimmt auch kein verantwortungsvoller Firmen-Admin mehr) auf Fehlern im Protokoll und nicht auf Fehlern in den Algorithmen. Die werden nur im Laufe der Zeit "weak", wenn die Möglichkeiten für Brute-Force-Angriffe immer besser werden wg. schnellerer Technik oder wenn tatsächlich mal eine "Abkürzung" in einer Berechnung entdeckt wird, was aber eher selten der Fall ist, deutlich seltener als Angriffe wg. Designschwächen des Protokolls.

Ansonsten ist das bei der 7170 (event. auch bei der 7270, aber die hat ja auch schon NAS usw.) zwar meist wirklich die "Fernwartung", aber es läuft ja tatsächlich jeder externe Zugriff (auch die diversen FRITZ!App irgendwas von unterwegs) über den SSL-Zugang (auch TR-064 von extern als Aufruf über /tr064cgi - etwas modifiziert ggü. der internen Version, aber derselbe Umfang) und der Glaube, es wäre nur die Fernwartung ("Und die benutze ich ja nicht ...") ist zumindest bei Smartphones/Tablets mit Android (die iOS-Apps sind je eher übersichtlich) und der Nutzung von FRITZ!Apps aus der Ferne auch ein Trugschluß. Das sind alles SSL/TLS-Verbindungen (erst seit 06.20 gibt es TLSv1.2 und auch wieder "richtige" Verfahren, die nicht im Allgemeinen als "broken" gelten) und die lassen sich eben auf bekannten Wegen angreifen. Eine Downgrade-Attacke wie bei FREAK ist auch problemlos auf eine FRITZ!Box denkbar ... nur nebenbei bemerkt, verwendet die tatsächlich auch nur 512-Bit-DH-Parameter (selbst aktuelle Release-Versionen, wenn man nicht selbst Vorsorge trifft) und ob die nicht auch sogar bei den Boxen alle einheitlich sind (weil in die Firmware einkompiliert), habe ich noch nie geprüft.
EDIT: Ehe da meinerseits Verwirrung gestiftet wird, weil ich oben nicht klar getrennt habe ... die "schwachen" DH-Parameter haben natürlich nichts mit FREAK zu tun (das ist ein Downgrade bis Export-Verschlüsselung). Die neueste(?) Sicherheitslücke an der Stelle hat den schönen Namen "LogJam" und da geht es um die DH-Parameter.
 
Zuletzt bearbeitet:
eisbaerin schrieb:
Ich muß immer den alten IE nehmen.
Zum Vergrößern anklicken....

Auch da solltest Du SSLv3 deaktivieren (über Einstellungen - Erweitert). Der Zugriff auf eine Seite vom Web - gleich welche und auch die Deines Routers - ist ein Sicherheitsrisiko.
 
Ist mir schon klar, aber HTTP frei zu geben ist ja noch schlimmer. Ich habe die DDWRT v24 preSP2 (Beta) Build 13064 vom 10.10.2009 drauf. Diese wird immer noch empfohlen. Es gibt für diesen Router zwar eine etwas neuere (Build 14896) von 2010, aber ich schätze, die löst das Problem auch nicht. Eine noch neuere wird nicht angeboten.
 
OT: Aktuelles DD-WRT für WRT54G(L/S) und andere BCM47xx-Modelle

eisbaerin schrieb:
Ich habe die DDWRT v24 preSP2 (Beta) Build 13064 vom 10.10.2009 drauf. Diese wird immer noch empfohlen. ... Eine noch neuere wird nicht angeboten.
Zum Vergrößern anklicken....

Hat sich das noch nicht so richtig herumgesprochen (obwohl das schon seit Jahren so ist)?
http://www.dd-wrt.com/phpBB2/viewtopic.php?t=52043 schrieb:
... The Database may recommend bad builds and you should look here for recommended builds that have proven to be stable from actual user testing. ...
Zum Vergrößern anklicken....

Das dort empfohlene Build 14929 ist zwar auch von 2010 aber bis jetzt hatte ich u.a. mit den ganz neuen aus dem Jahre 2015 (bis Februar, s.u.) keine Probleme, erst vor ein paar Tagen hier im Forum:
[post]2099270[/post]

Und direkt der Ordner vom 27.06.2015 (r27456) mit 2.4er Kernel (noch nicht selbst getestet!):
ftp://ftp.dd-wrt.com/betas/2015/06-27-2015-r27456/broadcom/

Bei mir lief (absolut zufriedenstellend) bis vor kurzem noch auf einem AP r26372 vom 26.02.2015:
ftp://ftp.dd-wrt.com/betas/2015/02-26-2015-r26372/broadcom/

Selbst bin ich aber mittlerweile vollständig auf OpenWRT gewechselt.
 
Danke für die Links, jetzt weiß ich wieder wo ich nachschauen kann. Ich habe wahrscheinlich immer unter stable geschaut.
Na, da werde ich mir OpenWRT auch mal anschauen.
 
Ich habe bei der Fritzbox 7170 nicht ganz durch geblickt welche Gefahren sich ergeben.

Deswegen meine Frage, bei meinen Eltern läuft ein gefreetzter Speedport 701v an Vodafone DSL Anschluss.
Fernwartung ist deaktiviert und Zugriff von außen erfolgt über VPN und die Fritzbox ist mit 2 anderen Fritzboxen über VPN verbunden.

Sollte ich die Box besser austauschen?
 
Gefahren ergeben sich nur für den Client.

Wenn die Fritzbox von außen nicht per https erreichbar ist, kannst Du beruhigt sein. S. Post #8, VPN ist nicht betroffen.
 
Ok, danke, Zugriff über Htpps ist in allen von mir betreuten 4 Boxen deaktiviert und Zugriff von aussen erfolgt ausschließlich über VPN.

Dank den ausführlichen Hinweisen von @Peterpawn.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 712 (Mitglieder: 39, Gäste: 673)

Neueste Beiträge

Statistik des Forums

Themen
244,834
Beiträge
2,219,158
Mitglieder
371,531
Neuestes Mitglied
P-Touch
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück