DrayTek重大漏洞針對SSL VPN

 要留意防火牆有無重大漏洞針對SSL VPN

另外也建議沒必要開啟遠端存取管理介面讓外網攻擊防火牆。

DrayTek 產品中的多個漏洞

（CVE-2024-41334 ~ CVE-2024-41336 和 CVE-2024-41338 ~ CVE-2024-41340）

本次 CVE-2024-41334 屬於高分 9.8 危險漏洞

未修補的路由器，請停用遠端存取（管理）和 SSL VPN。

受影響的產品和修復的韌體版本：

Vigor165 - 4.2.7

Vigor166 - 4.2.7

Vigor2133 - 3.9.9

Vigor2135 - 4.4.5.3

Vigor2620 LTE - 3.9.8.9

Vigor2762 - 3.9.9

Vigor2763 - 4.4.5.3

Vigor2765 - 4.4.5.3

Vigor2766 - 4.4.5.3

Vigor2832 - 3.9.9

Vigor2860 / 2860 LTE - 3.9.8

Vigor2862 / 2862 LTE - 3.9.9.5

Vigor2865 / 2865 LTE - 4.4.5.2

Vigor2866 / 2866 LTE - 4.4.5.2

Vigor2915 - 4.4.3.2

Vigor2925 / 2925 LTE - 3.9.8

Vigor2926 / 2926 LTE - 3.9.9.5

Vigor2927 / 2927 LTE / 2927L-5G - 4.4.5.5

Vigor2952 / 2952 LTE - 3.9.8.2

Vigor3220n - 3.9.8.2

Vigor1000B - 4.3.2.8

Vigor2962 - 4.3.2.8 / 4.4.3.1

Vigor3910 - 4.3.2.8 4.4.3.1

Vigor3912 - 4.3.6.1

UBUNTU 22.04 下 CheapSSL + NGINX + NGINX Reverse Proxy 安裝方式

安裝NGINX網站系統元件

使用SSH 安裝 Nginx 預設值服務如下。

sudo apt install nginx -y

如果想要全套件完整安裝Nginx，如下指令。

sudo apt install nginx nginx-full -y

如需 nginx-額外元件，可運行以下指令來安裝這些模組。

sudo apt install nginx-extras -y

安裝後檢查 Nginx 的服務是否安裝正確。

systemctl status nginx

CHEAPSSL 網站申請憑證  (僅擷取重點)

https://cheapsslsecurity.com/

 https://cheapsslsecurity.com/ssltools/csr-generator.php

可直接產生指令，複製到主機執行後，將產生CSR及KEY。

再將主機產生的CSR貼到CHEAPSSL網站申請後續動作!

連結https://cheapsslsecurity.com/client/reissueorder.html?orderdetailid=326598 

貼上主機產生的CSR資料並選擇APACHE+MOD SSL。

在主機設定相關憑證及NGINX設定值

在/etc/nginx/ssl 目錄下產生相關CSR及KEY。

再去網站申請登入並登入CSR資料等待產生相關憑證CRT。

當網站產生CRT憑證後將資料放入在/etc/nginx/ssl/並執行合併憑證動作。

cat your_domain.crt your_domain.ca-bundle >> ssl-bundle.crt 

主機憑證打開如有紅字表示憑證CRT跟KEY不合，請再檢查!

在以下目錄建置 

NGINX Reverse Proxy 

 設定檔

/etc/nginx/conf.d/自己命名

內容如下:

server {

    listen 443;

    ssl on;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

    server_name MyDomainName.AWEN.com;

    ssl_certificate /etc/nginx/ssl/MY-ssl-bundle.crt;

    ssl_certificate_key /etc/nginx/ssl/MY.key;

      location / {

      proxy_set_header        Host $host;

      proxy_set_header        X-Real-IP $remote_addr;

      proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;

      proxy_set_header        X-Forwarded-Proto $scheme;

      proxy_pass              http://轉址IP目的;

      proxy_read_timeout      90;

}

測試完成後可至以下網站測試SSL安全性

https://www.ssllabs.com/ssltest/

ShareTech Mail Server 付費版SSL增加範例

先至自己架設的LINUX主機輸入CSR相關資料後產生出KEY

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr

使用EMAIL、DNS、WEB三種選其一驗證方式後

1.憑證中心所產生出該Domain憑證並填入第一欄。範例為CRT。OOO_COM_TW.crt，。

2.將自己架設之LINUX主機所產生的KEY內容添入第二欄。範例為Server.key。

3.憑證中心產生出憑證中心之憑證檔內容放入中繼憑證欄位。範例名稱為SectigoRSADomainValidationSecureServerCA.crt。即可完成設定!

 

APACHE&NGINX SSL 關閉RC4 、SSL v3、TLSv1.0及更新Diffie-Hellman 參數

至主機以下位置修改
/etc/apache2/mods-available/ ssl.conf
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
RC4部份

原先RC4是
SSLCipherSuite HIGH:MEDIUM:!ADH:!MD5

更換為以下設定值

SSLHonorCipherOrder on
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SSL通訊埠部份

至於原先是
SSLProtocol -all -SSLv3 -TLSv1

更換為
SSLProtocol -all +TLSv1.2  即可完成!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Nginx 以下SSL DH相關問題

weak Diffie-Hellman (DH) key exchange parameters

https://snippetinfo.net/mobile/media/1604

https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html

建立 Diffie-Hellman 參數

主要解決 Diffie-Hellman 公開金鑰不足，要產生一個檔案加入設定

# 產生 DH parameters
openssl dhparam -out /etc/ssl/certsdhparam.pem 4096

然後在 nginx.conf 的 SSL 設定加上

ssl_dhparam /etc/ssl/certs/certsdhparam.pem;

這樣就可以完成!

說明-編輯設定檔

找到SSLProtocol、SSLCipherSuite、SSLHonorCipherOrder三個設定值

SSLProtocol

設定SSL協定。可以用『+、-』分別表示『允許、拒絕』某些特定的協定。(Apache: SSLProtocol Directive)

SSLCipherSuite

用來決定SSL在交換key演算法、認證演算法、加密演算法、MAC Digest演算法、、(Apache: SSLCipherSuite Directive)

SSLHonorCipherOrder

加密套件偏好順序，這邊設定成on，可以使用戶端使用伺服器端給予的加密套件偏好。(Apache: SSLHonorCipherOrder)

CHEAPSSL NGINX 憑證綁定方式

在NGINX下

如果在一個捆綁文件中收到了中間證書，或者從您的SSLs.com帳戶下載了證書文件，則該方法

運行以下命令

Run this command:

cat your_domain.crt your_domain.ca-bundle >> ssl-bundle.crt

參考網誌文：

https://www.ssls.com/knowledgebase/how-to-install-an-ssl-certificate-on-a-nginx-server/