DHグループの変更方法について

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
kono
Posts: 2
Joined: Mon Dec 13, 2021 5:12 am

DHグループの変更方法について

Post by kono » Thu Sep 15, 2022 7:58 am

SoftetherVPNを2年ほど利用している者です。

最近、サーバーの脆弱性診断を受ける機会があり、その結果に
DH鍵交換中にパラメータとして共通またはデフォルトの素数を使用している、
という指摘を受け、ランダムに生成された2048ビットのDHグループを
使用することが指示されております。

openssl dhparam -out dhparams.pem 2048

でファイル生成するまではいいのですが、その後の設定で止まっております。
SoftetherVPNはApacheライセンスということでしたが、問題なく動作している
VPNサーバ内にはApacheはインストールされておりませんでした。いかがすれば
DHグループの変更はできますでしょうか?

環境は下記の通りです。
サーバOS : Ubuntu 18.04
Softether: Ver4.34, Build 9745(SoftetherVPNプロトコルのみ使用)
openssl : 1.1.1 11 Sep 2018

本フォーラムには沿わない内容かもしれませんが、もし知見がございましたら
情報共有いただけますと幸いです。ご教授のほど、何卒よろしくお願いいたします。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: DHグループの変更方法について

Post by cedar » Thu Sep 15, 2022 10:40 am

SoftEther VPN 4.3x 系の安定版ではデフォルトの素数を使用するようになっています。
特にこれは脆弱性というわけではないのですが、ランダムな素数を使用する必要がある場合は先進版の SoftEther VPN 5.x を使用してみてください。

kono
Posts: 2
Joined: Mon Dec 13, 2021 5:12 am

Re: DHグループの変更方法について

Post by kono » Thu Sep 22, 2022 1:52 am

ご回答いただきありがとうございました。
SoftEther VPN 5.x を試してみようと思います。

Post Reply