Lighttpd SSL23_GET_CLIENT_HELLO



  • Bonjour,

    je suis sur un pfsense 2.1.5, et je viens de m’apercevoir, que j'ai une erreur récurrente (entre 3 à 40 fois par seconde):

    lighttpd[86915]: (connections.c.305) SSL: 1 error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request

    Je ne sais pas si cela fait longtemps que je l'ai. J'ai cherché un peu partout sur internet, mais je n'arrive pas à savoir si c'est normal ou pas.

    J'ai le proxy avec Squiguard d'activé. J'ai essayé de désactivé les logs mais sans succès, l'erreur est toujours là.

    J'ai aussi un portail captif, mais si je le désactive, j'ai toujours le problème.

    Je ne sais plus trop où regarder, et surtout je ne sais pas trop comment je peux arriver à trouver qui envoi cette requête qui pose problème. Est-ce que si je filtre uniquement les paquets sur le port 443, j'arriverais à trouver quelque chose ? Pour le moment, ce n'est pas très concluent.

    Merci à ceux qui auraient une idée.



  • salut salut

    nous aimerions je pense vous répondre mais avez vous suivi les uses et coutumes de la section du forum.

    un peu d'effort de votre coté nous en ferons peu être de même.

    cordialement.



  • On est vraiment sur une approche "en vrac". Si un client me pose son problème comme cela, je commence par tout reprendre à la base, de façon organisée, pour avoir une chance de comprendre le problème.
    D'où le formulaire.



  • moi aussi j ai ces lignes en grandes quantités

    je n'ai jamais pu savoir d'ou ca venait

    quelques pistes:

    • probleme de certif ssl du gui

    • connexions triviales au gui (par exemple par un port mapping en ssh)

    • connexion au gui via l'ip, sans fqdn

    moi j ai constaté que ces lignes n'apparaissaient que quand on utilisait le gui

    moi je pense que c est lié a ssl, une config impropre des certificats.

    ces messages existent depuis le passage a 2.0 ….

    peut etre une verbosité excesssive, suite a des chaines de certificats manquantes, ou autre pb lié a la certification ssl du gui



  • Bonjour,

    J'ai le même type d'erreur lorsque je lance un petit test avec sslscan.
    Je pense que vous subissez seulement le bruit provenant d'internet provoqué, entre autres, par des scans aléatoire.
    Je pense, à première vue et sans diag supplémentaire, que ce n'est qu'une réponse à un 'Client Hello' ou plutôt une non réponse car non pris en charge par la 'cipher suite' de Lighttp. (il faudrait vraiment s'en assurer avant de prendre ce commentaire pour argent comptant !)
    En changeant le port de votre WebGUI devrait limiter le nombre immédiat de lignes dans vos logs.

    Je vérifierai en checkant mes logs plus tard pour voir si je vois ce type de logs à nouveau.

    Cdt,
    Secf'



  • comment expliques tu que j'ai des traces de ces messages sur un pfsense intercalé entre un pfsense FRONTAL et un LAN?

    Comment expliques tu que sur un autre réseau, j ai des traces de ces messages sur un pfsense FRONTAL qui s'avere ne pas etre en DMZ et protégé par sa/ses box?



  • Bonjour,

    Pour le PFSense derrière une première ligne, nous sommes bien d'accords que le ports d'administration n'est pas ouvert sur le publique ?
    Je dirais alors qu'il faudrait peut être jeter un oeil à la façon dont le navigateur procède pour sélectionner la Cipher Suite.
    Lors du handshake, comment se mettent t-ils d'accords sur la façon dont ils vont se parler (Browser <-> WebUI) ?

    Enfin, comme je le disais, ma première réponse n'était qu'une pure supposition et que sans un véritable diag elle ne vaut pas grand chose…

    Cdt,
    Secf'



  • si mais sur un port banal a 5 chiffres…

    je doute qu on puisse parler de scan

    et comme je te disais j ai les memes traces sur un pf intercalé entre deux nats (protégé, non public)

    nan je pense que compte tenu que personne n arrive a savoir ce que c est, et que je ne vois aucune atteinte a quoi que ce soit, le mieux est de s en foutre a vrai dire....

    parfois tu as beau retourner tout dans tous les sens, si en plus tu ne constates aucun probleme adjacent que veux tu faire....



  • je pense a mon avis que c est une "sur verbosité" de pfsense


Log in to reply