MARCELO PONCE

Dell Open Manage Server Administrator es una herramienta de supervisión y administración de hardware de Dell que permite entre otras cosas monitorizar el estado de un servidor en cada una de sus partes, mother, procesador, disco, etc.

Es una herramienta invalueable para la prevensión de DownTimes y pérdidas de datos, por lo que cuando no podemos acceder a ella ... nos frustramos un poco... o un mucho...

Por eso, si hacemos click en el acceso directo y obtenemos una pantalla como la siguiente, comenzaremos a dar vueltas como un perro persiguiendo su cola, buscando el origen del problema

Yo no hice nada...

Si estas en sistemas seguramente has escuchado mucho estas frases

• No, no, yo no instalé nada..
• Hasta ayer funcionaba y hoy dejo de funcionar.. yo no hice nada...
• Estaba bien y de repende dejo de funcionar...

En el 99.9% de los casos, debo estar de acuerdo con Dr. House y afirmar que Todos Mienten, pero... en este caso puede que tengan razón...

Nuestra primera reacción seguramente será pensar que algún archivo de la infraestructura del Dell Open Manage (lo abreviaremos como DOM) se corrompió o valla uno a saber que le pasó y procederá a desinstalar el DOM, y reinstalarlo, solo para darnos cuenta que el problema sigue...

Que salame... porque no lo actualicé, pensaremos... y bajaremos la ultima versión disponible para el server en cuestión y procederemos a desintalar la anterior y poner la versión nueva ... y problema solucionado!!! ... mentira... todo sigue igual...

Bueno... aqui es donde comenzamos a creer que se nos está escapando la tortuga y le hechamos la culpa al Internet Explorer... (que muchas veces la tiene...), y decidimos pedirle ayuda a nuestro viejo amigo Chrome... solo para que la pantalla cambie... pero sin abrir el DOM

Apareció la madre del borrego

En este momento ya tenemos idea de que es lo que está pasando... efectivamente puede que nadie realizara cambios recientes en el equipo.. y efectivamente el DOM dejó de funcionar de 1 día para el otro... (la excepción que confirma la regla de Dr. House)... entonces que pasó?

Pasó el tiempo... ehhhh???? que tiene que ver????... No voy a escribir todo, sirvanse de los siguientes links, pero en resumidas cuentas, los navegadores ya no permite el acceso HTTPS a sitios cuyo certificado sea SHA-1

• https://security.googleblog.com/2015/12/an-update-on-sha-1-certificates-in.html
• https://blogs.windows.com/msedgedev/2016/04/29/sha1-deprecation-roadmap/#qY3bo5gA6fRrcwtX.97
• https://blog.mozilla.org/security/2014/09/23/phasing-out-certificates-with-sha-1-based-signature-algorithms/

Y entonces... que hacemos...?.

Bueno, a no desesperar... contamos con varios navegadores, puede que podamos hacer que alguno funcione..

Primero lo primero, sabemos que es un tema de certificados, asi que debemos obtener la URL del DOM a los efectos de probar

En este caso.. https://127.0.0.1:1311/?authType=ntlm&locallogin=true&application=omsa ... depende la versión del DOM puede ser diferente, y puede que 127.0.0.1 sea sustituido por el nombre del server...

Como hacemos entonces para que, por ej. Google Chrome ignore el certificado SHA-1 y me permita conectarme?.... Buscando de la misma forma que llagamos hasta aqui, encontre un link que indicaba hacer un acceso directo con una serie de parámetros que le permitan a Chrome ignorar la "blacklist" de los certificados SHA-1

El acceso directo debería contener lo siguiente...

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --cipher-suite-blacklist=0x0088,0x0087,0x0039,0x0038,0x0044,0x0045,0x0066,0x0032,0x0033,0x0016,0x0013

En mi caso, denominé al cceso directo como "Chrome for old SHA-1". Observen que la ruta de Chrome está encerrada entre comillas, esto es porque la misma contiene espacios, luego viene el parámetro para la black lisk

Si tienen ganas de leer de donde vienen estos valores... http://www.iana.org/assignments/tls-parameters/tls-parameters.xml

Una vez que hicimos el acceso directo, hacemos doble click para abrir Chrome con los parámetros ante dichos y luego pegamos la URL que tomamos del DOM y le damos enter... alli, veremos una ventana como la siguiente

Como ven, el mensaje ha cambiado, ya no se hace referencia a "Diffie-Hellman" y solo se nos indica que el sitio no es privado, hacemos click en "Advanced" para alli poder tener la opción de entrar al site

Una vez que entramos al site, Chrome solicitará las credenciales de logon, debemos alli ingresar las credenciales de acceso, normalmente una cuenta de administrador local del server o en caso de servidores que pertenencen a dominios tambien puede usarse una cuenta de administrador de dominio.

Si la autenticación resulta exitosa, DOM iniciará correctamente y será accesible al operador

Si no logramos iniciar DOM de esta forma, podemos cancelar con Escape el diálogo inicial para que el site presente la autenticación via formulario

El formulario, dependiendo la versión de DOM solicitará usuario y clave e indicará la opción de validarse localmente o en el dominio. Una vez validado, se presentará la pantalla de DOM normal

Y si no quiero usar Chrome para esto?? Puedo usar IE o FireFox

Bueno... si a cada solución le vamos a encontrar un nuevo problema...

La respuesta es si, se pueden usar IE o FireFox, difiere la forma de configurarlos para que eviten el blacklist de los SHA-1

Veamos como hacerlo con FireFox

Digamos que intentamos con FireFox y no funciona, levantamos FireFox, copiamos la URL de DOM y vemos una pantalla como la siguiente

En versiones anteriores, FireFox, nos avisaba de problemas similares pero nos permitía omitir el problema y conectarnos al site o device, en este caso, el viejo y querido botón de opciones avancazas no está... que hacemos?

Lo primero, entremos en la configuracón de FireFox, para ello en la URL colocamos about:config y veremos una pantalla similar a la siguiente

Leída la advertencia y a sabiendas que perdemos la garantía... (Que garantía? es una heladera acaso.. en fin..), hacemos click en el botón Seré Cuidadoso, Lo prometo (no sin antes cruzar los dedos por lo bajo), entrando entonces en la configuración de FireFox

Allí buscaremos los valores que contengan dhe_rsa, lo que nos permitirá ubicar rápidamente los valores que buscamos, security.ssl3.dhe_rsa_aes_128_sha y security.ssl3.dhe_rsa_aes_256_sha, una vez que los ubicamos, hacemos click sobre uno de ellos para seleccionarlo y luego hacemos click con el botón derecho del mouse y seleccionamos la opción cambiar, el resultado será algo como esto..

Observese que los valores cambiados se muestran en negrita, y permanecerán de esa forma hasta que los volvamos a sus valores por defecto, lo que facilita el mantenmiento..

Hechos estos cambios, podemos intentar nuevamente con la URL de DOM para ver si FireFox nos permite entrar... y.. "voila"..

nuestro viejo y querido botón Agregar Excepción está nuevamente alli, de ahi en más es navegación conocida, agregamos la excepción e ingresamos al site

Y si no quiero usar ni Chrome, ni FireFox?

Bien... caprichoso el nene... te queda la opción de I.E... peeerrrooo.. dado que Internet Explorer toma la información del cifrado del sistema operativo, a que no adivinás que hay que hacer... cooorrrecto.. tocar el registro.. la configuración es bastante simple, ...pero sin garantìas... si quieren intentar...

Comenzamos... inicio.. RegEdit.. y buscamos la siguiente rama HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms

Dentro de ella puede que tengamos o no la llave Diffie-Hellman, si la tenemos la abrimos y sino, la creamos, hacemos click con el botòn derecho del mouse y seleccionamos New Key y escribimos Diffie-Hellman, luego, ya dentro de nuestra nueva llave, agregaremos un valor dword, con el nombre ClientMinKeyBitLength, este valor nos permitirá determinar la longitud minima de la llave de encriptación permitida, por lo que si queremos volver a los 512, deberemos ingresar dicho valor decimal o su equivalente hexadecimal 00000200, para ello, entonces, hacemos click con el botón derecho del mouse sobre la llave Diffie-Hellman y seleccionamos la opción New DWORD value, cuando se nos solicite el nombre ingresaresmos ClientMinKeyBitLength, luego haremos doble-click sobre el mismo para ingresar el valor decimal de 512 o hexadecimal de 00000200, hecho esto, deberíamos estar en condiciones de ingresar al site en cuestión, procedemos entonces a cerrar el editor del registro y luego intentaremos ingresar a DOM via IE, si hicimos las cosas bien deberíamos ver una pantalla como la siguiente

La documentación de Microsoft dice que hay que reiniciar el equipo, la verdad es que en los casos que probé, funcionó sin necesidad de reiniciar el equipo

https://support.microsoft.com/en-us/kb/3061518

Routers, Switches, PrintServers, y otras yerbas

Obviamente las soluciones implementadas para DOM, son también aplicables a otros sites y/o dispositivos que expongan su acceso o administración a través de https, con algoritmos Diffie-Hellman con llaves de encriptación menores a 1024, por lo tanto, dichos dispositivos y sites serán también accesibles aplicando estos parches.