OS-Panic, Task name=SSH-Connection Type=PPC: DSI (protection error on store access @0x0) 10.42.0473-RU3

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: OS-Panic, Task name=SSH-Connection Type=PPC: DSI (protection error on store access @0x0) 10.42.0473-RU3

Beitrag von alf29 »

Moin,

vielen Dank für die ausführlichen Screenshots, aber ich meinte die SSH-Konfig auf dem LANCOM, nicht von PuTTY. Wo die im LANconfig steht, weiß ich jetzt nicht auswendig, auf der CLI ist die unter Setup/Config/SSH und sieht im Default so aus:

Code: Alles auswählen

root@lc1906va4g-aa:/Setup/Config/SSH
> l

Operating                VALUE:   Yes
Port                     VALUE:   22
Authentication-Methods   TABLE:   3 x [Ifc.,Methods]
Cipher-Algorithms        VALUE:   aes128-cbc,aes192-cbc,aes256-cbc,aes128-ctr,aes192-ctr,aes256-ctr,chacha20-poly1305,aes128-gcm,aes256-gcm
MAC-Algorithms           VALUE:   hmac-sha2-256,hmac-sha2-512
Key-Exchange-Algorithms  VALUE:   diffie-hellman-group-exchange-sha256,ecdh-sha2,curve25519-sha256
DH-Groups                VALUE:   Group-14,Group-15,Group-16
Elliptic-Curves          VALUE:   nistp256,nistp384,nistp521
Hostkey-Algorithms       VALUE:   ssh-rsa,rsa-sha2-256,rsa-sha2-512,ssh-dss,ecdsa-sha2,ssh-ed25519
Min-Hostkey-Length       VALUE:   2048
Max-Hostkey-Length       VALUE:   8192
Compression              VALUE:   Yes
Keepalive-Interval       VALUE:   60
SFTP-Server              MENU:    
Wenn ich mich mit PuTTy 0.74 auf ein Gerät mit dieser Konfig verbinde, gibt es keinen Absturz und ich kann mich problemlos per SSH verbinden:

Code: Alles auswählen

> sho ssh sessions

Active SSH Sessions:

PID    Peer                 User             Role   Method               Encryption                     Peer-Identifier
---------------------------------------------------------------------------------------------------------------------------
275    192.168.11.4:40055   root             Server keyboard-interactive aes256-ctr                     SSH-2.0-PuTTY_Release_0.74
Als Verschlüsselung ist AES256 ausgehandelt worden. In Deinem Falle wurde 3DES ausgehandelt, und das kann ich mir nur so erklären, daß auf Deinem Gerät die SSH-Konfiguration geändert wurde, im speziellen der Punkt "Cipher-Algorithms" unter Setup/Config/SSH. Das ist natürlich nicht verboten, und das Gerät sollte auch mit 3DES nicht abstürzen (habe ich für den nächsten RU korrigiert), aber Du solltest diese Änderung rückgängig machen und AES wieder zulassen. Viele andere SSH-Clients, z.B. OpenSSH, lassen gar kein 3DES mehr zu, das LCOS im Konfig-Default ja auch nicht mehr, mit einem so konfigurierten Gerät bekommt man dann gar keine Verbindung mehr. Es ist natürlich auch in Ordnung, 3DES auf dem LANCOM zusätzlich zu AES zuzulassen, wenn man aus irgendwelchen Gründen noch alte SSH-Clients im Einsatz hat, die kein AES unterstützen. Das sollte dann aber bevorzugt '3des-cbc' und nicht '3des-ctr' sein, weil das der in älteren SSH-RFCs als mandatory geforderte Algorithmus ist.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
sixty
Beiträge: 70
Registriert: 21 Sep 2010, 22:54

Re: OS-Panic, Task name=SSH-Connection Type=PPC: DSI (protection error on store access @0x0) 10.42.0473-RU3

Beitrag von sixty »

Hallo und Danke für die Antwort.

Ich denke, ich habe den betreffenden Punkt im LCOS-Menübaum gefunden.
Per SSH mag ich im Moment aus sicher verständlichen Gründen nicht auf das Gerät gehen.
SSH-1.PNG
SSH-2.PNG
Die Konfiguration ist vermutlich sehr alt (unser erstes Gerät war ein DSL/I-10) und und ist im Kern wahrscheinlich über mehrere Generationen (1721, 1784VA) immer wieder mitgeschleift und mittels Lanmonitor konvertiert worden - ohne sie jemals von Grund auf neu zu machen. Genau nachvollziehen kann ich es im Moment nicht.

Die genannten Algorithmen sind auf alle Fälle vorhanden, ob die unterschiedliche Reihenfolge am Web-Interface liegt weiß ich jetzt nicht. Auf alle Fälle habe ich keine Möglichkeit gefunden, die Reihenfolge zu beeinflussen.

Hilft Dir das?

Schöne Grüße
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: OS-Panic, Task name=SSH-Connection Type=PPC: DSI (protection error on store access @0x0) 10.42.0473-RU3

Beitrag von alf29 »

Moin,
Die genannten Algorithmen sind auf alle Fälle vorhanden, ob die unterschiedliche Reihenfolge am Web-Interface liegt weiß ich jetzt nicht. Auf alle Fälle habe ich keine Möglichkeit gefunden, die Reihenfolge zu beeinflussen.
Bei SSH gibt der Client die Präferenz der Algorithmen vor. Deine PuTTy-Installation hat 3DES vor AES stehen, hier bei meinem frisch geladenen & installierten PuTTy ist die Reihenfolge "AES->ChaCha20->3DES". Deshalb wird bei mir AES statt 3DES ausgehandelt und ich laufe nicht in den Absturz rein. Was Du jetzt machen könntest:

-> auf Deinem PuTTy die Reihenfolge von 3DES und AES drehen
-> auf dem LANCOM 3des-ctr ausschalten (3des-cbc ist unkritisch)
-> auf den nächsten RU warten ;-)

Sicherheitstechnisch ist es die beste Lösung, auf die eine oder andere Weise dafür zu sorgen, daß kein 3DES mehr verwendet wird.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: OS-Panic, Task name=SSH-Connection Type=PPC: DSI (protection error on store access @0x0) 10.42.0473-RU3

Beitrag von Jirka »

Auch wenn's nicht mein OS-Panic war, an dieser Stelle ein großes Danke an Alfred. Immer wieder nett zu lesen.
sixty
Beiträge: 70
Registriert: 21 Sep 2010, 22:54

Re: OS-Panic, Task name=SSH-Connection Type=PPC: DSI (protection error on store access @0x0) 10.42.0473-RU3

Beitrag von sixty »

Hallo, auch von meiner Seite nochmal herzlichen Dank an Euch beide, es hat mir sehr weitergeholfen.
-> auf Deinem PuTTy die Reihenfolge von 3DES und AES drehen
-> auf dem LANCOM 3des-ctr ausschalten (3des-cbc ist unkritisch)
-> auf den nächsten RU warten ;-)
Die ersten beiden Punkte habe ich gestern Abend abgearbeitet :)
- bei PuTTY das Profil gelöscht und ein neues nach Default (AES an erster Stelle) angelegt.
Damit war absturzfreie Kommunikation schon wieder möglich
- die Liste im Gerät an den obigen Stand angepaßt (3des, blowfish und sha1 'raus, DH-Gruppen usw.)
Kommunikation geht weiterhin und es wird AES ausgehandelt.

Danke und schöne Pfingsten
Antworten