È necessario accedere al vecchio router dimenticato che supporta solo SSLv3

72

Ho bisogno di accedere all'interfaccia web di un router che si trova qui in ufficio. Il problema è che supporta solo SSLv3 e non riesco a trovare un browser che mi permetta di connettermi ad esso. Per aggiornare il router, devo anche essere in grado di accedere ad esso.

Ho provato ad usare SSH, ma non funziona. Forse sta usando una porta non standard.

Eseguendo una scansione della porta (limitata?) usando 'fing', vedo che sono aperte le seguenti porte standard:

  • 515 (stampante LPD)
  • 1723 (PPTP)

Quale browser posso utilizzare o quali altre opzioni ho?

Unable to Connect Securely

Firefox cannot guarantee the safety of your data on 192.168.1.1:10443 
because it uses SSLv3, a broken security protocol.
Advanced info: ssl_error_unsupported_version
    
posta tomsv 21.12.2015 - 11:58
fonte

8 risposte

81

Internet Explorer 11 lo supporta, ma per abilitarlo devi andare alla scheda Opzioni avanzate.

    
risposta data 21.12.2015 - 12:32
fonte
63

La soluzione equivalente per Firefox è aprire la scheda about:config e impostare

security.tls.version.min

a 0.

Origine .

Link utili per testare le impostazioni SSL / TLS del tuo browser.

    
risposta data 21.12.2015 - 14:51
fonte
26

Chrome consente questa funzionalità. Di seguito qui .

In Google Chrome, you can use the --ssl-version-max and --ssl-version-min command line flags to select a specific protocol verison. The accepted values are: "ssl3", "tls1", "tls1.1", or "tls1.2". How to set command line flags on Chrome.

Come impostare i flag della riga di comando su Chrome:

Windows

Exit any running-instance of chrome. Find the shortcut you normally use to launch chrome. Create a copy of it Right click on the new shortcut, and select Properties At the very end of the Target: text box, add a space and then the desired command line flags. It should end in something like ...\chrome.exe" --foo --bar=2 Double click the new shortcut to launch chrome with the new command line flags.

Mac OS X

Quit any running instance of chrome. Launch /Applications/Utilities/Terminal.app At the command prompt enter: /Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --foo --bar=2

Linux

Exit any running instance of chrome. Execute in a console: google-chrome --foo --bar=2

(If you are using a different named chrome/chromium build, change the command accordingly)

Chrome OS

Put the device into dev mode so you can get a root shell Modify /etc/chrome_dev.conf (read the comments in the file for more details) Restart the UI via: sudo restart ui

Ricorda che questo potrebbe ridurre lo stato di sicurezza del tuo browser. Non è consigliabile utilizzare questi downgrade per la normale navigazione.

    
risposta data 22.12.2015 - 04:36
fonte
9

Tre delle risposte attualmente fornite richiedono abbassare il livello di sicurezza del tuo browser , lasciando probabilmente aperto a vari attacchi se lo fai nel tuo browser principale, successivamente usa quel browser per altri siti web, o semplicemente dimentica di annullare questa modifica (o più modifiche).

Funzionalità SSL / TLS legacy e non protette (SSLv2 e SSLv3 , firme SHA1RSA, RC4 e crittografie 3DES, MD5 MAC, esportazione cipher, non PFS ciphers, < 1024 parametri DH) sono progressivamente disabilitati per impostazione predefinita e / o rimossi dai browser, e per una buona ragione.

Un problema a parte che @AndreKR segnala in modo utile è la compatibilità del browser , nel qual caso un browser legacy in una VM dedicata è probabilmente la soluzione più affidabile.

Se non puoi sostituire il dispositivo, usa VM dedicata o un browser dedicato. La prossima opzione migliore è un proxy TLS per consentire l'uso di un browser sicuro contemporaneo. Abilitare una, (o due, tre ...) funzionalità non sicure in un browser non è una soluzione sicura e sostenibile, e quando accade l'inevitabile e una funzionalità richiesta viene completamente rimossa? (Supporto SSLv3 per Chrome , Opera , Firefox ).

Un'alternativa sicura consiste nel proxy delle connessioni attraverso qualcosa che supporti sia vecchio / legacy sia nuovi protocolli & cifre, ci sono molte opzioni (inclusa la soluzione piuttosto pesante di un proxy inverso Apache).

La seguente soluzione più leggera dovrebbe funzionare su entrambi i sistemi * nix e Windows. Ciò richiederà la generazione di una chiave / certificato - non necessariamente un problema poiché la prossima cosa che succederà è che i browser contemporanei rifiuteranno i certificati firmati SHA1. In questo modo è possibile utilizzare un certificato RSA-2048 firmato SHA-2 e un TLS contemporaneo per l'accesso al dispositivo.

Per questo esempio:

proxy socat

Utilizzo di socat :

CERT="cert=mydevice.crt,key=mydevice.key"
SSLSRV="cipher=AES256-SHA,method=TLS1.2,verify=0"
SSLCLI="cipher=AES128-SHA,method=SSL3,verify=0"

socat \
 OPENSSL-LISTEN:11443,bind=127.0.0.1,reuseaddr,fork,$CERT,$SSLSRV  \ 
 OPENSSL:192.168.1.123:443,$SSLCLI

e connettiti a https://127.0.0.1:11443/

Note

Modifica il tuo file hosts locale per prevenire gli avvisi di mancata corrispondenza del nome del certificato, se necessario, poiché è necessario un certificato interno per questo comunque puoi generare un certificato con il nome interno previsto (a differenza di molti dispositivi che ho riscontrato tendono ad usare nomi strani o ostili per i certificati).

Per il supporto TLSv1.2 è necessario OpenSSL-1.0.1 o successivo e socat-1.7.3.0 o successivo. Le opzioni cipher e method possono essere regolate in base ai requisiti, così come la verifica del certificato del server o del client.

Questa soluzione si estende anche a problemi simili, come i dispositivi solo SSLv2, o con certificati a 512 bit o un insieme di cipherità cifrate, sebbene sia necessario assicurarsi che OpenSSL non sia stato creato con no-ssl2 o no-ssl3 e ha attivato la cipheruite pertinente.

Se fossi un auditor preferirei vedere un metodo di accesso documentato (insieme a un piano di aggiornamento!) piuttosto che una soluzione ad hoc che è un incidente che aspetta di accadere.

    
risposta data 23.12.2015 - 16:57
fonte
4

Anche le versioni precedenti di Firefox o Chrome sono disponibili nel formato PortableApps, quindi puoi avere una o più installazioni indipendenti di una versione precedente del browser e / o una con impostazioni non sicure ma necessarie abilitate per tali scopi.

    
risposta data 23.12.2015 - 11:35
fonte
3

Ho riscontrato lo stesso problema con un vecchio router legacy in esecuzione su una vecchia versione stabile di DD-WRT. Sto ancora utilizzando questo router sulla mia rete interna e anche il router non è connesso a Internet. Dopo aver modificato per errore un'impostazione per accedere solo al web gui tramite HTTPS, mi è stato impedito di accedervi con tutti i browser aggiornati che avevo installato sui miei sistemi! Ho cercato su google e ho trovato questa pagina, purtroppo nessuna delle spiegazioni spiegate qui ha aiutato ad accedere al router. Ero ancora bloccato fuori, pessimo servizio. Potrei fare un reset di fabbrica del router ma perdere la configurazione è stato anche un po 'un problema per me.

Dopo alcune prove ed errori e ulteriori letture, ho scaricato una versione molto vecchia di Portable FireFox. L'ho trovato su: link

Dopo aver decompresso il download e avviato la vecchia versione di FireFox, potevo accedere nuovamente al router tramite il webgui e gestirlo nuovamente. Disabilitato HTTPS su di esso e posso inserirlo di nuovo con altri browser aggiornati.

Forse puoi lasciare la vecchia versione di FireFox Portable sul tuo sistema e usarla solo per gestire il vecchio sistema.

    
risposta data 19.01.2018 - 15:58
fonte
0

Ho avuto lo stesso problema in cui non sono riuscito ad accedere alla mia pagina di configurazione del mio router Avevo l'SSL abilitato nelle opzioni di IE e ancora non potevo accedere alla pagina perché non c'era un collegamento nella pagina in IE per accettare e andare avanti.

Dopo aver giocato con Firefox e Chrome, la soluzione era usare IE, ma prima dovevo eseguire questo comando dalla riga di comando per visualizzare il link dopo l'avviso in IE. Spero che questo aiuti qualcun altro dopo che ho girato in tondo per un'ora.

Apri cmd ed esegui quanto segue, quindi apri IE alla pagina del router.

certutil -setreg chain\minRSAPubKeyBitLength 512
    
risposta data 20.08.2016 - 23:45
fonte
0

È possibile modificare le impostazioni di sicurezza del browser per consentire il funzionamento delle versioni obsolete di SSL, ma mi sembra una pessima idea. Penso che un'idea migliore sarebbe quella di scaricare un browser più vecchio ed eseguirlo come necessario per quel particolare sito.

Appare il supporto SSLv3 è stato rimosso in Firefox 34 :

SSLv3 will be disabled by default in Firefox 34

Quindi potresti eseguire un'istanza separata di Firefox 33 solo per accedere a quel particolare router:

Linux

Questo scaricherà Firefox 33 ed eseguirà un profilo separato in modo che non influenzi alcuna configurazione esistente di Firefox che potresti avere:

wget https://ftp.mozilla.org/pub/firefox/releases/33.0/linux-x86_64/en-US/firefox-33.0.tar.bz2
tar -xvf firefox-33.0.tar.bz2
cd firefox
mkdir profile
# Disable automatic updates and default browser check
echo "user_pref(\"app.update.enabled\", false);
user_pref(\"browser.shell.checkDefaultBrowser\", false);" > profile/user.js
./firefox --profile profile

Ho un senso con altre versioni qui: link

di Windows

Puoi scaricare una versione portatile di Firefox 33 qui: link

    
risposta data 25.01.2018 - 17:09
fonte

Leggi altre domande sui tag