Pytanie:
Musisz uzyskać dostęp do starego zapomnianego routera, który obsługuje tylko SSLv3
tomsv
2015-12-21 16:58:06 UTC
view on stackexchange narkive permalink

Muszę uzyskać dostęp do interfejsu sieciowego routera stojącego tutaj w biurze. Problem polega na tym, że obsługuje on tylko SSLv3 i nie mogę znaleźć przeglądarki, która pozwala mi się z nim połączyć. Aby zaktualizować router, muszę również mieć możliwość zalogowania się do niego.

Próbowałem połączyć się z nim przez SSH, ale to nie działa. Może używa jakiegoś niestandardowego portu.

Uruchamiam (ograniczone?) Skanowanie portów za pomocą 'fing'. Widzę, że ma otwarte następujące standardowe porty:

  • 515 (Drukarka LPD)
  • 1723 (PPTP)

Jakiej przeglądarki mogę używać lub jakie mam inne opcje?

  Nie można połączyć się w bezpieczny sposóbFirefox nie może zagwarantować bezpieczeństwa Twoich danych w 192.168.1.1:10443, ponieważ używa SSLv3, zepsutego protokołu bezpieczeństwa.Informacje zaawansowane: ssl_error_unsupported_version  
Zdaję sobie sprawę, że już zaakceptowałeś odpowiedź, ale chciałem tylko wskazać, w jaki sposób możesz uzyskać starszą wersję FireFox. http://filehippo.com/download_firefox/history
Po zakończeniu aktualizacji routera nie zapomnij przywrócić ustawień zabezpieczeń przeglądarki!
@MonkeyZeus Lepiej jest przejść do [oficjalnego archiwum wersji] (https://ftp.mozilla.org/pub/firefox/releases/) niż korzystać z witryn osób trzecich.
Osiem odpowiedzi:
#1
+82
JOW
2015-12-21 17:32:54 UTC
view on stackexchange narkive permalink

Internet Explorer 11 obsługuje tę funkcję, ale aby ją włączyć, musisz przejść do zakładki Opcje zaawansowane.

enter image description here

25 lat po tym, jak pierwsza strona internetowa stała się online, ktoś znalazł rzeczywisty przypadek użycia IE. Wszystko wskazuje na to, że witryna routera jest zepsuta w IE.
@Sebb odkąd został zaakceptowany przez tomsv, myślę, że zadziałał.
W rzeczywistości jest bardziej prawdopodobne, że witryna routera * tylko * działa w przeglądarce IE. ;)
Nadal uważam, że najlepszą metodą uzyskania dostępu do wspomnianego routera jest użycie dużego młotka.
@AndreKR IE11 oferuje tryb zgodności z IE6, więc może po prostu działać; p
Podczas pracy na niektórych przełącznikach D-Link w pracy muszę używać tabletu z systemem Windows 10. Jedyną przeglądarką, która działa po wyjęciu z pudełka na tych urządzeniach, jest Edge.
#2
+62
Dmitry Grigoryev
2015-12-21 19:52:00 UTC
view on stackexchange narkive permalink

Równoważnym rozwiązaniem dla przeglądarki Firefox jest otwarcie zakładki about: config i ustawienie

  security.tls.version.min  

do 0.

Źródło.

Pomocny link do testowania ustawień SSL / TLS przeglądarki.

Czy pomyślnie próbowałeś tego? Nie mogłem zmusić tego do działania w mojej obecnej wersji Firefox 43.0.1. Myślę, że ta flaga już nie działa. (IExplore był w stanie połączyć się z tym: `openssl s_server -cert cert.pem -key key.pem -www -accept 8443 -ssl3` Firefox nie był. Cert / key wygenerowano w ten sposób (https: //www.cryptologie .net / article / 314 / analysis-a-tls-handshake /).)
@StackzOfZtuff To działa dla mnie w wersji ESR Firefoksa. Dodałem link do mojej odpowiedzi, którego użyłem do przetestowania.
Świetny! Nie wiedziałem, że SSL-Labs może to przetestować. (Niestety nie działa od tyłu zza ścisłych zapór ogniowych. Wydaje się, że używają portów innych niż 443, takich jak 10200, 10300, 10301, 10302, 10303, 10443, 10443, 10444, 10444, 10445, 10445)
Jeśli Firefox zgłasza „ssl_error_weak_server_ephemeral_dh_key”, pomoże ustawienie zarówno „security.ssl3.dhe_rsa_aes_128_sha”, jak i „security.ssl3.dhe_rsa_aes_256_sha” na „false”. To nie jest dokładny komunikat o błędzie, o którym wspomniał OP, ale może ta informacja jest w jakiś sposób przydatna.
@tmh:, który jest przeznaczony dla LogJam, a nie SSLv3 / TLS
(Firefox 43) Muszę również dodać nazwę hosta do `security.tls.insecure_fallback_hosts`. Jest to lista oddzielona przecinkami, na przykład „mójoldbank.example.com, sslv3.example.com”
A `insecure_fallback_hosts` nie, o ile pokazują moje badania, nie akceptuje adresów IP. Tylko nazwy hostów.
Nie zapomnij go odłożyć, kiedy skończysz.
Wygląda na to, że w Firefoksie 34 obsługa SSLv3 została całkowicie usunięta ([changelog] (https://www.mozilla.org/en-US/firefox/39.0/releasenotes/)).Wydaje się to sprzeczne z wcześniejszymi komentarzami o potrzebie `insecure_fallback_hosts` w Firefoksie 43, ale właśnie próbowałem na Firefoksie 45 (ustawiając zarówno` insecure_fallback_hosts`, jak i `security.tls.version.min`, ale to nie działało, powtarzam`SSL_ERROR_UNSUPPORTED_VERSION`)
Idąc dalej, wydaje się, że w Debianie Linux biblioteka openssl (której używa Firefox) całkowicie wyłączyła obsługę SSLv3 (w czasie kompilacji) od wersji 1.0.2d-2 ([changelog] (http: //metadata.ftp-master.debian.org/changelogs/main/o/openssl/unstable_changelog)).Oznacza to również, że w ostatnich wersjach Debiana SSLv3 nie będzie działał niezależnie od używanej przeglądarki.
#3
+26
user84662
2015-12-22 09:36:49 UTC
view on stackexchange narkive permalink

Chrome umożliwia taką funkcjonalność. Wspomniane tutaj.

W przeglądarce Google Chrome można użyć flag wiersza polecenia --ssl-version-max i --ssl-version-min, aby wybrać konkretną wersja protokołu. Akceptowane wartości to: „ssl3”, „tls1”, „tls1.1” lub „tls1.2”. Jak ustawić flagi wiersza poleceń w Chrome.


Jak ustawić flagi wiersza poleceń w Chrome:

Windows

Zamknij wszystkie uruchomione wystąpienia przeglądarki Chrome. Znajdź skrót, którego zwykle używasz do uruchamiania Chrome. Utwórz jego kopię Kliknij prawym przyciskiem myszy nowy skrót i wybierz Właściwości Na samym końcu pola tekstowego Cel: dodaj spację, a następnie żądane flagi wiersza poleceń. Powinien zakończyć się czymś w rodzaju ... \ chrome.exe "--foo --bar = 2 Kliknij dwukrotnie nowy skrót, aby uruchomić chrome z nowymi flagami wiersza poleceń.

Mac OS X

Zamknij wszystkie uruchomione wystąpienia przeglądarki Chrome. Launch / Applications / Utilities / Terminal.app W wierszu poleceń wpisz: / Applications / Google \ Chrome.app/Contents/MacOS/Google \ Chrome --foo --bar = 2

Linux

Zamknij wszystkie uruchomione wystąpienia chrome. Uruchom w konsoli: google-chrome --foo --bar = 2

(Jeśli używasz innej wersji o nazwie chrome / chromium, zmień odpowiednio polecenie)

System operacyjny Chrome

Umieść urządzenie do trybu programisty, aby uzyskać powłokę roota Modyfikuj / etc / chrome_dev.conf (przeczytaj komentarze w pliku, aby uzyskać więcej informacji) Uruchom ponownie interfejs użytkownika przez: sudo restart ui

Pamiętaj, że może to obniżyć stan bezpieczeństwa Twojej przeglądarki. Nie zaleca się używania tych obniżek do normalnego przeglądania.

Kiedy przejrzałem to po raz pierwszy, pomyślałem, że `--foo` i` --bar = 2` to faktyczne opcje wymagane do obniżenia minimalnej wersji SSL.
Przepraszamy, ale to nie działa.`google-chrome --ssl-version-min = ssl3 --ssl-version-max = ssl3 ` zwraca * ERR_SSL_VERSION_OR_CIPHER_MISMATCH *
#4
+10
mr.spuratic
2015-12-23 21:57:22 UTC
view on stackexchange narkive permalink

Trzy z obecnie udzielanych odpowiedzi wymagają obniżenia poziomu bezpieczeństwa przeglądarki , co prawdopodobnie pozostawi Cię podatnym na różne ataki, jeśli zrobisz to w swojej podstawowej przeglądarce, a następnie użyj tę przeglądarkę dla innych witryn internetowych lub po prostu zapomnij cofnąć tę zmianę (lub wiele zmian).

Starsze i niezabezpieczone funkcje SSL / TLS (SSLv2 i SSLv3, podpisy SHA1RSA, RC4 i szyfry 3DES, MD5 MAC, szyfry eksportowe, szyfry inne niż PFS, parametry <1024 DH) są domyślnie stopniowo wyłączane i / lub usuwane z przeglądarki i nie bez powodu.

Osobnym problemem, który @AndreKR pomocnie oznacza, jest kompatybilność przeglądarek , w którym to przypadku starsza przeglądarka na dedykowanej maszynie wirtualnej jest prawdopodobnie najbardziej niezawodna rozwiązanie.

Jeśli nie możesz wymienić urządzenia, użyj dedykowanej maszyny wirtualnej lub dedykowanej przeglądarki. Następną najlepszą opcją jest serwer proxy TLS, który umożliwia korzystanie ze współczesnej bezpiecznej przeglądarki. Włączenie jednej, (lub dwóch lub trzech ...) niezabezpieczonych funkcji w przeglądarce nie jest bezpiecznym i trwałym rozwiązaniem, a kiedy dzieje się coś nieuniknionego i wymagana funkcja jest całkowicie usuwana? (Obsługa SSLv3 dla Chrome, Opera, Firefox).

Bezpieczną alternatywą jest proxy połączeń przez coś, obsługuje zarówno stare / starsze, jak i nowe protokoły szyfry &, istnieje wiele opcji (w tym dość ciężkie rozwiązanie odwrotnego proxy Apache).

Poniższe, lżejsze rozwiązanie powinno działać zarówno w systemach * nix, jak i Windows. Będzie to wymagało wygenerowania klucza / certyfikatu - niekoniecznie jest to problem, ponieważ następną rzeczą, która się wydarzy, jest to, że współczesne przeglądarki odrzucają certyfikaty podpisane SHA1. W ten sposób możesz użyć podpisanego SHA-2 certyfikatu RSA-2048 i współczesnego TLS w celu uzyskania dostępu do urządzenia.

Na przykład:

socat proxy

Korzystanie z socat :

  CERT = "cert = mydevice.crt, key = mydevice.key "SSLSRV =" cipher = AES256-SHA, method = TLS1.2, verify = 0 "SSLCLI =" cipher = AES128-SHA, method = SSL3, verify = 0 "socat \ OPENSSL- SŁUCHAJ: 11443, bind = 127.0.0.1, reuseaddr, fork, $ CERT, $ SSLSRV \ OPENSSL: 192.168.1.123: 443, $ SSLCLI  

i połącz się z https: / /127.0.0.1:11443/

Notatki

Zmień swój lokalny plik hosts , aby w razie potrzeby zapobiec ostrzeżeniom o niezgodności nazwy certyfikatu z przeglądarki, ponieważ i tak potrzebujesz do tego certyfikatu wewnętrznego, możesz wygenerować certyfikat z oczekiwaną nazwą wewnętrzną (w przeciwieństwie do wielu urządzeń, które spotkałem które zwykle używają dziwnych lub nieprzyjaznych nazw certyfikatów).

Do obsługi TLSv1.2 będziesz potrzebować OpenSSL-1.0.1 lub nowszego i socat-1.7.3.0 lub nowszego. Opcje cipher i method mogą być dostosowane do wymagań, podobnie jak weryfikacja certyfikatu serwera lub klienta.

To rozwiązanie obejmuje nawet podobne problemy, takich jak urządzenia obsługujące tylko SSLv2 lub z certyfikatami 512-bitowymi lub z utykanymi zestawami szyfrów, ale musisz się upewnić, że OpenSSL nie został zbudowany z użyciem no-ssl2 lub no-ssl3 i ma włączony odpowiedni zestaw szyfrów.

Gdybym był audytorem, wolałbym zobaczyć udokumentowaną metodę dostępu (wraz z planem aktualizacji!) niż rozwiązanie ad hoc, które jest przypadkiem czekającym na zdarzenie .

Byłbyś zwolennikiem tego procesu, nawet jeśli obniżyłeś bezpieczeństwo przeglądarki tylko po to, aby zaktualizować router, a następnie przywrócić ustawienia? Nie widzę ryzyka.
Ryzyko i wysiłek zależą od rodzaju i liczby urządzeń, zasad bezpieczeństwa organizacji i tego, czy musisz ponownie uruchomić przeglądarkę. Jednowierszowy skrypt powłoki, który ogranicza „element ludzki” ryzyka, jest uzasadnioną alternatywą. (Ignorowanie słonia w pokoju, które najlepiej podsumowuje komentarz z dużym młotem zxq9).
MD5 nie jest obowiązkowe dla podpisów, ale tylko nie powinno-nie dla HMAC (w tym przed 1.2 PRF). Nie widziałem ani nie słyszałem żadnych oznak utraty 3DES, chociaż preferowany jest AES; czy miałeś na myśli oryginalny DES znany jako 1DES, który wypadł wkrótce po „eksportowych” 40-bitowych szyfrach?
3DES (trójkluczowy TDEA) jako odpowiednik 112-bitowy: Qualys [zalecał używanie go tylko w celu zapewnienia kompatybilności wstecznej od zeszłego roku] (https://www.ssllabs.com/projects/best-practices/). Forma z trzema kluczami ma teraz najniższą dopuszczalną siłę zatwierdzoną przez NIST ([SP800-131A R1 (PDF)] (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf)) . To, czy będzie następny na bloku do rąbania, jest z mojej strony przypuszczeniem ...
#5
+6
rackandboneman
2015-12-23 16:35:07 UTC
view on stackexchange narkive permalink

Starsze wersje przeglądarki Firefox lub Chrome są również dostępne w formacie PortableApps, więc możesz mieć jedną lub więcej niezależnych instalacji starszej wersji przeglądarki i / lub takiej z niebezpiecznymi, ale niezbędnymi ustawieniami włączonymi do takich celów.

To zdecydowanie najlepsze rozwiązanie.Nie mam pojęcia, dlaczego zbyt skomplikowane odpowiedzi, które drastycznie zmniejszają bezpieczeństwo przeglądarki, są akceptowane i najczęściej oceniane.
#6
+4
Cenobyte
2018-01-19 20:58:12 UTC
view on stackexchange narkive permalink

Napotkałem ten sam problem ze starym, starszym routerem działającym na starej, ale stabilnej wersji DD-WRT. Nadal używam tego routera w mojej sieci wewnętrznej, a także router nie jest połączony z Internetem. Po przypadkowej zmianie ustawienia, aby uzyskać dostęp do interfejsu GUI tylko przez HTTPS, zablokowano mi dostęp do niego za pomocą wszystkich zaktualizowanych przeglądarek, które zainstalowałem w moich systemach! Szukałem w Google i znalazłem tę stronę, niestety żadna z wymienionych tutaj wyjaśnionych rozwiązań nie pomogła w uzyskaniu dostępu do routera. Nadal byłem zablokowany, bummer offcourse. Mogłem zresetować router do ustawień fabrycznych, ale utrata konfiguracji również była dla mnie problemem.

Po kilku próbach, błędach i późniejszym czytaniu pobrałem bardzo starą wersję przenośnego FireFoxa. Znalazłem to na: https://sourceforge.net/projects/portableapps/files/Mozilla%20Firefox%2C%20Portable%20Ed./

Po rozpakowaniu pobierania i uruchomieniu starej wersji FireFox mogłem ponownie wejść do routera przez webgui i znowu nim zarządzać. Wyłączono HTTPS i mogę wprowadzić go ponownie z innymi zaktualizowanymi przeglądarkami.

Może możesz zostawić starą wersję FireFox Portable w swoim systemie i używać jej tylko do zarządzania starym systemem.

Jedyne rozwiązanie, które działało u mnie ze starym routerem.Użyłem Firefoksa w wersji 2007, ładnej i starożytnej
#7
+1
bmaupin
2018-01-25 22:09:47 UTC
view on stackexchange narkive permalink

Możliwe jest dostosowanie ustawień zabezpieczeń przeglądarki, aby umożliwić działanie przestarzałych wersji SSL, ale wydaje mi się to naprawdę złym pomysłem. Myślę, że lepszym pomysłem byłoby pobranie starszej przeglądarki i uruchomienie jej w razie potrzeby dla tej konkretnej witryny.

Wygląda na to, że obsługa SSLv3 została usunięta w Firefoksie 34:

SSLv3 będzie domyślnie wyłączony w Firefoksie 34

Możesz więc uruchomić oddzielną instancję przeglądarki Firefox 33 tylko w celu uzyskania dostępu do tego konkretnego routera:

Linux

Spowoduje to pobranie przeglądarki Firefox 33 i uruchomienie jej z oddzielnym profilem, więc nie wpłynie to na żadną istniejącą konfigurację przeglądarki Firefox, którą możesz mieć:

  wget https: // ftp .mozilla.org / pub / firefox / release / 33.0 / linux-x86_64 / en-US / firefox-33.0.tar.bz2tar -xvf firefox-33.0.tar.bz2cd firefoxmkdir profile # Wyłącz automatyczne aktualizacje i domyślną kontrolę przeglądarki "user_pref ( \ "app.update.enabled \", false); user_pref (\ "browser.shell.checkDefaultBrowser \", false); " > profile / user.js. / firefox --profile profile  

Tutaj mam streszczenie z kilkoma wersjami: https://gist.github.com/bmaupin / 731fc12a178114883ff6e7195a133563

Windows

Możesz pobrać przenośną wersję przeglądarki Firefox 33 tutaj: https://sourceforge.net/projects/portableapps/files/Mozilla % 20Firefox% 2C% 20Portable% 20Ed. / Mozilla% 20Firefox% 2C% 20Portable% 20Edition% 2033.0 /

#8
  0
ChrisD.
2016-08-21 02:45:59 UTC
view on stackexchange narkive permalink

Miałem ten sam problem, w którym nie mogłem dostać się do mojej strony konfiguracyjnej mojego routera. Miałem włączony SSL w opcjach IE i nadal nie mogłem dostać się na stronę, ponieważ na stronie w IE nie było łącza do zaakceptuj i idź naprzód.

Po zabawie z Firefox i Chrome rozwiązaniem było użycie IE, ale musiałem najpierw uruchomić to polecenie w wierszu poleceń, aby uzyskać link do wyświetlenia po ostrzeżeniu w IE. Mam nadzieję, że to pomoże komuś innemu po tym, jak biegałem w kółko przez godzinę.

Otwórz cmd i uruchom następujące polecenie, a następnie otwórz IE na stronie routera.

  certutil -setreg chain \ minRSAPubKeyBitLength 512  


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...