Il client OpenVPN può ancora connettersi al server dopo che la chiave tls-auth del client è cambiata

Naviga le tue risposte
2

Attualmente sto familiarizzando con OpenVPN creando e testando alcune infrastrutture client-server usando la workstation VMware.

Questo è ciò che ho notato di recente: se modifichi manualmente alcuni valori nel ta.key del client, sarai comunque in grado di connettersi al server, senza errori o avvisi nel log durante il processo di connessione.

Esempio: La mia chiave attuale, che è la stessa sul lato client e server, assomiglia a questa:

-----BEGIN OpenVPN Static key V1----- 135e25bb334841d0144bc9cada39d8f4 dc4185d5d78289e6b449d2616d808baa 149a110f3985d5b5698d0766f0e91826
96fd9f886210f30cd4198713f7e5268d 02d5b88276e36c0152a1e117e02b02f5
3918ddfaead2efa1760224024f9426dc 02e4f660da96c22fa9256374b72d5e95
f0f154fb5acb65af4934e17a31d0bab3 1c96053d7c9ffac4e91da542bdff3bdc
146b3dc28f484609d8d2b95e6b7b9ecb 0919f3a7bd1275810da8851b8699ab2c
3d4f03e54ad77ec4a8b76cebfeac98d1 4c81af32861be3c396469710c0cfe4ea
4b8285dd5dd925d2c4a9ba976ea137da cdaf8af33d0a69a341df41d1873f8e0f
f30627ac336f6dd4dfe607efdf135740
-----END OpenVPN Static key V1-----

Ora, dal lato del cliente, apporto alcune modifiche ad esso, ad esempio, imposta il primo e l'ultimo valore su 0, quindi assomiglia a questo:

-----BEGIN OpenVPN Static key V1----- 000025bb334841d0144bc9cada39d8f4 dc4185d5d78289e6b449d2616d808baa 149a110f3985d5b5698d0766f0e91826
96fd9f886210f30cd4198713f7e5268d 02d5b88276e36c0152a1e117e02b02f5
3918ddfaead2efa1760224024f9426dc 02e4f660da96c22fa9256374b72d5e95
f0f154fb5acb65af4934e17a31d0bab3 1c96053d7c9ffac4e91da542bdff3bdc
146b3dc28f484609d8d2b95e6b7b9ecb 0919f3a7bd1275810da8851b8699ab2c
3d4f03e54ad77ec4a8b76cebfeac98d1 4c81af32861be3c396469710c0cfe4ea
4b8285dd5dd925d2c4a9ba976ea137da cdaf8af33d0a69a341df41d1873f8e00
f30627ac336f6dd4dfe607efdf130000
-----END OpenVPN Static key V1-----

E sorprendentemente sono ancora in grado di connettermi al server. Solo se genero una chiave completamente nuova con comando openvpn --genkey --secret ta2.key e usalo invece di quello vecchio, solo allora riceverò un errore quando provo a connetterti al server:

Fri Sep 7 11:33:04 2018 us=232609 TLS Error: incoming packet authentication failed from [AF_INET]192.168.1.2:33596

Fri Sep 7 11:33:12 2018 us=212985 Authenticate/Decrypt packet error: packet HMAC authentication failed

Quindi, com'è possibile? Ho pensato che la modifica di un singolo bit nella chiave dovesse portare a un errore di autenticazione, ma non è così. Qualche idea?

-

Versione OpenVPN, se necessario:

OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH / PKTINFO] [AEAD] costruito il 18 luglio 2017

    
posta ImJustCurious 07.09.2018 - 10:53
fonte

1 risposta

2

link

In breve, la chiave è troppo grande. Non tutte le parti del file sono effettivamente utilizzate nelle attuali implementazioni.

    
risposta data 07.09.2018 - 12:59
fonte

Leggi altre domande sui tag

L'intervallo del parametro s2k-count in GPG è ancora adeguato? Le estensioni del browser non rappresentano un rischio critico per la sicurezza?