Sicurezza dell'utilizzo di una singola chiave / chiave in un'installazione di OpenVPN

Naviga le tue risposte
3

Sono curioso di sapere come un setup OpenVPN sicuro utilizza una singola chiave / chiave per autenticarsi sul server, rispetto ad una configurazione OpenVPN che usa una combinazione di cert / chiave separata per ogni client OpenVPN.

La configurazione del server OpenVPN ha una sezione che dice che non dovrei fare questo, ma è un avviso di OpenVPN su potenziali problemi di sicurezza, o l'avviso è qualcosa di OpenVPN specifico?

L'installazione attualmente utilizza l'impostazione della chiave client / server insieme a ta.key.

    
posta TearsOnTheMoon 04.12.2014 - 14:36
fonte

2 risposte

1

Non c'è modo di sapere chi si connette al tuo server. Non ci sono attribuzioni associate. Se qualcuno effettua l'accesso e fa qualcosa di male, non avrai modo di sapere chi fosse o restringere il punto in cui è iniziata la violazione della sicurezza.

Peggio ancora, non saprai se qualcun altro ruba il certificato e accede al tuo server a tua insaputa. Con l'attribuzione puoi almeno notare che "Utente2 bene accede raramente a 0200". Quindi puoi seguire l'utente e restringere la breccia.

Immagino che la linea di fondo sia: se hai solo un certificato di autenticazione del client perché ne hai uno?

    
risposta data 04.12.2014 - 16:40
fonte
0

In pratica stai restringendo la tua sicurezza al nome utente e alla password perché il tuo cert è single point of failure (se ottenuto può essere fornito con qualsiasi credenziale autorizzata). Un'altra cosa che dovresti prendere in considerazione è l'impatto della revoca dei certificati sulla tua organizzazione. Supponiamo che tu abbia scoperto che qualcuno sta causando danni alla tua organizzazione in tutta VPN, quindi hai deciso di revocare direttamente il certificato per fermarli. Il problema è che ora nessuno sarà in grado di usare la VPN prima di montare un nuovo certificato e ridistribuirlo. Ancora peggio non si conosce il punto in cui il certificato è trapelato perché non è legato a un utente specifico, quindi anche se si crea un nuovo certificato, è possibile ottenere direttamente il modo in cui è stato ottenuto il vecchio e non si ha modo di chiuderlo il divario. Ritengo che la soluzione migliore sia utilizzare certificati specifici dell'utente e applicare l'associazione utente / nome utente cert con il numero minimo di connessioni simultanee necessario per operare. L'avviso in OpenVPN è dovuto esclusivamente a motivi di sicurezza, altrimenti non ti verrà fornita questa opzione (nessuno fornisce il pulsante "interrompila" per i propri utenti). La soluzione single cert può avere alcuni casi d'uso in cui si desidera che gli utenti siano meno sicuri ma più privati fornendo l'anonimato. Un altro caso d'uso è quando hai bot-net e vuoi che gli zombi si connettano tramite VPN, quindi puoi usarlo senza credenziali solo con cert.

    
risposta data 12.06.2017 - 14:57
fonte

Leggi altre domande sui tag

Disinfetta i valori specifici degli attributi HTML con XSS l'attacco di malware sul mio sito web potrebbe aver avviato un server SOCKS: si prega di avvisare [duplicato]