web-dev-qa-db-fra.com

Besoin d'accéder à un ancien routeur oublié qui ne prend en charge que SSLv3

J'ai besoin d'accéder à l'interface Web d'un routeur qui se tient ici au bureau. Le problème est qu'il ne prend en charge que SSLv3 et je ne trouve pas de navigateur qui me permette de me connecter. Pour mettre à jour le routeur, je dois également pouvoir me connecter.

J'ai essayé de SSH dedans, mais cela ne fonctionne pas. Il utilise peut-être un port non standard.

Exécution d'une analyse de port (limitée?) À l'aide de "fing" Je vois que les ports standard suivants sont ouverts:

  • 515 (imprimante LPD)
  • 1723 (PPTP)

Quel navigateur puis-je utiliser ou quelles autres options ai-je?

Unable to Connect Securely

Firefox cannot guarantee the safety of your data on 192.168.1.1:10443 
because it uses SSLv3, a broken security protocol.
Advanced info: ssl_error_unsupported_version
72
tomsv

Internet Explorer 11 le prend en charge, mais vous devez vous rendre dans l'onglet Options avancées pour l'activer.

enter image description here

82
JOW

La solution équivalente pour Firefox est d'ouvrir le about:config tabulation et définition

security.tls.version.min

à 0.

Source .

Lien utile pour tester les paramètres SSL/TLS de votre navigateur.

62
Dmitry Grigoryev

Chrome autorise cette fonctionnalité. Référencé ici .

Dans Google Chrome, vous pouvez utiliser les indicateurs de ligne de commande --ssl-version-max et --ssl-version-min pour sélectionner une version de protocole spécifique. Les valeurs acceptées sont: "ssl3", "tls1", "tls1.1" ou "tls1.2". Comment définir des drapeaux de ligne de commande sur Chrome .


Comment définir des drapeaux de ligne de commande sur Chrome:

Windows

Quittez toute instance en cours d'exécution de Chrome. Trouvez le raccourci que vous utilisez normalement pour lancer Chrome. Créez-en une copie Cliquez avec le bouton droit sur le nouveau raccourci et sélectionnez Propriétés À la toute fin de la zone de texte Cible:, ajoutez un espace, puis les indicateurs de ligne de commande souhaités. Il devrait se terminer par quelque chose comme ...\chrome.exe "--foo --bar = 2 Double-cliquez sur le nouveau raccourci pour lancer chrome avec les nouveaux drapeaux de ligne de commande.

Mac OS X

Quittez toute instance de Chrome en cours d'exécution. Lancez /Applications/Utilities/Terminal.app À l'invite de commande, entrez:/Applications/Google\Chrome.app/Contents/MacOS/Google\Chrome --foo --bar = 2 (Chrome $ === --foo --bar = 2)

Linux

Quittez toute instance de Chrome en cours d'exécution. Exécuter dans une console: google-chrome --foo --bar = 2

(Si vous utilisez une autre version nommée chrome/chrome, modifiez la commande en conséquence)

Chrome OS

Mettez l'appareil en mode dev pour pouvoir obtenir un root Shell Modify /etc/chrome_dev.conf (lisez les commentaires dans le fichier pour plus de détails) Redémarrez l'interface via: Sudo restart ui

N'oubliez pas que cela peut réduire l'état de sécurité de votre navigateur. Il n'est pas recommandé d'utiliser ces rétrogradations pour une navigation normale.

26
user84662

Trois des réponses actuellement apportées nécessitent d'abaisser le niveau de sécurité de votre navigateur , vous laissant peut-être ouvert à diverses attaques si vous le faites ceci dans votre navigateur principal, utilisez ensuite ce navigateur pour d'autres sites Web, ou oubliez simplement d'annuler cette modification (ou plusieurs modifications).

Fonctionnalités SSL/TLS héritées et non sécurisées (SSLv2 et SSLv , signatures SHA1RSA, RC4 et chiffrements 3DES, MD5 MAC, chiffrements d'exportation, chiffrements non PFS , <1024 DH paramètres) sont progressivement étant désactivés par défaut et/ou supprimés des navigateurs, et pour une bonne raison.

Un problème distinct que @AndreKR signale utilement est celui de compatibilité du navigateur, auquel cas un navigateur hérité dans un VM VM est probablement la solution la plus robuste).

Si vous ne pouvez pas remplacer l'appareil, utilisez un VM ou un navigateur dédié dédié. La prochaine meilleure option est un proxy TLS pour permettre l'utilisation d'un navigateur sécurisé contemporain. Activer un, (ou deux, ou trois ...) les fonctionnalités non sécurisées d'un navigateur ne sont pas une solution sûre et durable, et lorsque l'inévitable se produit et qu'une fonctionnalité requise est entièrement supprimée? (Prise en charge SSLv3 pour Chrome , Opera , Firefox ).

Une alternative sécurisée consiste à proxy les connexions via quelque chose qui prend en charge les anciens et nouveaux protocoles et chiffrements, il existe de nombreuses options (y compris la solution plutôt lourde d'un proxy inverse Apache).

La solution plus légère suivante devrait fonctionner sur les systèmes * nix et Windows. Cela nécessitera que vous génériez une clé/cert - pas nécessairement un problème car la prochaine chose qui va se passer est que les navigateurs contemporains rejetteront les certificats signés SHA1. De cette façon, vous pouvez utiliser un certificat RSA-2048 signé SHA-2 et un TLS contemporain pour accéder à l'appareil.

Pour cet exemple:

proxy socat

En utilisant socat :

CERT="cert=mydevice.crt,key=mydevice.key"
SSLSRV="cipher=AES256-SHA,method=TLS1.2,verify=0"
SSLCLI="cipher=AES128-SHA,method=SSL3,verify=0"

socat \
 OPENSSL-LISTEN:11443,bind=127.0.0.1,reuseaddr,fork,$CERT,$SSLSRV  \ 
 OPENSSL:192.168.1.123:443,$SSLCLI

et connectez-vous à https://127.0.0.1:11443/

Remarques

Modifiez votre fichier hosts local pour éviter les avertissements de non-correspondance de nom de certificat de votre navigateur si nécessaire, car vous avez besoin d'un certificat interne pour cela de toute façon, vous pouvez générer un certificat avec le nom interne attendu (contrairement à de nombreux appareils que j'ai rencontrés et qui ont tendance à utiliser des noms étranges ou hostiles pour les certificats).

Pour la prise en charge de TLSv1.2, vous aurez besoin d'OpenSSL-1.0.1 ou version ultérieure et de socat-1.7.3.0 ou version ultérieure. Les options cipher et method peuvent être ajustées en fonction des besoins, tout comme la vérification du certificat du serveur ou du client.

Cette solution s'étend même aux problèmes similaires, tels que les périphériques SSLv2 uniquement, ou avec des certificats 512 bits ou un ensemble entravé de ciphersuites, bien que vous deviez vous assurer qu'OpenSSL n'a pas été construit avec no-ssl2 ou no-ssl3 et la ciphersuite correspondante est activée.

Si j'étais auditeur, je préférerais voir une méthode d'accès documentée (avec un plan de mise à niveau!) Plutôt qu'une solution ad hoc qui est un accident en attente de se produire.

9
mr.spuratic

Les anciennes versions de Firefox ou Chrome sont également disponibles au format PortableApps, vous pouvez donc avoir une ou plusieurs installations indépendantes d'une ancienne version de navigateur et/ou une avec des paramètres dangereux mais nécessaires activés à de telles fins.

6
rackandboneman

J'ai rencontré le même problème avec un ancien routeur hérité fonctionnant sur une version ancienne mais stable de DD-WRT. J'utilise toujours ce routeur sur mon réseau interne et le routeur n'est pas connecté à Internet. Après avoir accidentellement modifié un paramètre pour accéder uniquement à l'interface graphique Web via HTTPS, j'ai été empêché d'y accéder avec tous les navigateurs mis à jour que j'avais installés sur mes systèmes! J'ai cherché sur Google et j'ai trouvé cette page, malheureusement aucune des sollicitations expliquées mentionnées ici n'a aidé à accéder au routeur. J'étais toujours en lock-out, décevant. Je pouvais faire une réinitialisation d'usine du routeur, mais perdre la configuration était également un problème pour moi.

Après quelques essais et erreurs et une lecture plus poussée, j'ai téléchargé une très ancienne version de FireFox portable. Je l'ai trouvé sur: https://sourceforge.net/projects/portableapps/files/Mozilla%20Firefox%2C%20Portable%20Ed./

Après avoir déballé le téléchargement et démarré l'ancienne version de FireFox, je pouvais entrer à nouveau le routeur via le webgui et le gérer à nouveau. HTTPS désactivé dessus et je peux le saisir à nouveau avec d'autres navigateurs mis à jour.

Vous pouvez peut-être laisser l'ancienne version de FireFox Portable sur votre système et ne l'utiliser que pour gérer l'ancien système.

3
Cenobyte

Il est possible de modifier les paramètres de sécurité du navigateur pour permettre aux versions obsolètes de SSL de fonctionner, mais cela me semble être une très mauvaise idée. Je pense qu'une meilleure idée serait de télécharger un ancien navigateur et de l'exécuter selon les besoins de ce site particulier.

Il semble que SSLv3 soit pris en charge a été supprimé dans Firefox 34 :

SSLv3 sera désactivé par défaut dans Firefox 34

Vous pouvez donc exécuter une instance distincte de Firefox 33 uniquement pour accéder à ce routeur particulier:

Linux

Cela téléchargera Firefox 33 et l'exécutera avec un profil distinct afin qu'il n'affecte pas la configuration existante de Firefox que vous pourriez avoir:

wget https://ftp.mozilla.org/pub/firefox/releases/33.0/linux-x86_64/en-US/firefox-33.0.tar.bz2
tar -xvf firefox-33.0.tar.bz2
cd firefox
mkdir profile
# Disable automatic updates and default browser check
echo "user_pref(\"app.update.enabled\", false);
user_pref(\"browser.Shell.checkDefaultBrowser\", false);" > profile/user.js
./firefox --profile profile

J'ai un Gist avec d'autres versions ici: https://Gist.github.com/bmaupin/731fc12a178114883ff6e7195a13356

Les fenêtres

Vous pouvez télécharger une version portable de Firefox 33 ici: https://sourceforge.net/projects/portableapps/files/Mozilla%20Firefox%2C%20Portable%20Ed./Mozilla%20Firefox%2C%20Portable%20Edition% 2033.0 /

1
bmaupin

J'ai eu le même problème où je ne pouvais pas accéder à ma page de configuration de mon routeur.J'ai activé le SSL dans les options de IE et je n'ai toujours pas pu accéder à la page car il n'y avait pas de lien sur la page en IE pour accepter et avancer).

Après avoir joué avec Firefox et chrome la solution était d'utiliser IE mais j'ai dû exécuter cette commande ci-dessous sur la ligne de commande pour obtenir le lien à afficher après l'avertissement dans IE. J'espère que cela aide quelqu'un d'autre après avoir tourné en rond pendant une heure.

Ouvrez cmd et exécutez ce qui suit, puis ouvrez IE sur la page du routeur.

certutil -setreg chain\minRSAPubKeyBitLength 512
0
ChrisD.