Nepodcenujte zabezpeceni OpenVPN! (was: Re: VPN přes OPENVPN a spolupráce s doménou Windows 2003)

[Vlada Macek]

Pavel Kankovsky wrote:
> On Fri, 19 May 2006, Lubomír Klubus wrote:
>
>> Při připojení to ovšem chce heslo k certifikátu, [...]
>
> Každý, kdo v této či jiné souvislosti použije výraz "heslo k
> certifikátu", "certifikát bez hesla" apod. bude potrestán za své
> ignorantství tím, že tisíckrát napíše vlastní krví "certifikát není
> privátní klíč"!

Chtel jsem napsat neco podobneho, i kdyz ne tak tvrde. :-)

Nektere ze zasad pouziti OpenVPN:

- Pouziti neobvykleho portu a protokolu UDP.

- Komunikace je chranena predsazenym HMAC algoritmem se sdilenym
secretem (volba tls-auth).

- Server pouzije volby chroot, user a group na nobody.

- Prakticka je fixace CN klientu na IP v privatnim rozsahu. Napriklad
pomoci voleb client-config-dir a ccd-exclusive. Posledne jmenovane jsem
skromnym autorem. :-)

- Klient je nastaven tak, aby se nepripojil k serveru s jinym CN nez
spravnym (volba tls-remote).

- Server nastavi, ze jeden certifikat lze pouzit maximalne na jedno spojeni.

- Klient vygeneruje zadost o certifikat (napriklad pomoci meho
univerzalnejsiho wokenniho programu My Certificate Wizard, ktery je
soucasti OpenVPN-GUI a ktery mu prednastavi spravce pro naproste minimum
nutnych ukonu). Zaroven definuje netrivialni HESLO k soukromemu klici,
aby klic nemohl pouzivat kdokoli, kdo se k jeho pocitaci nekdy dostane.

- Posle zadost sve CA (klidne soukrome, ale zabezpecene~ provozovanou
spravcem sve site). Cesta zadosti nemusi byt zabezpecena.

- CA jinym kanalem (treba telefonem) overi, jestli je zadost presne v
tom tvaru, v jakem ji klient odeslal.

- CA podepise zadost a vytvori certifikat. Cesta certifikatu nemusi byt
zabezpecena, je-li potreba, muze byt cert i zverejnen v komunite. Jeho
sila se totiz projevuje az v soucinnosti se soukromym klicem. Duvod
ochrany soukromeho klice!

- Heslo po zadavani nikam neputuje, v momente pripojovani slouzi k
nacteni soukromeho klice, kdy PKI slouzi ke zjisteni, ze certifikat
klienta i serveru podepsala stejna (nebo duveryhodna) CA.

- Klient nejlepe navzdy ponechava soukromy klic v pocitaci, ktery ho
vygeneroval.


Postup neni samoucelny, pokud ho ignorujete (napriklad kvuli sve lenosti
se neco naucit nebo protoze se schovavate za lenost svych uzivatelu),
koledujete si o problemy a skoro si je i zaslouzite. VPN je zrovna DOST
citliva oblast. Treba mne by opravdu vadilo, kdyby se mi prochazel nekdo
cizi po siti.

Je-li architektura dobre pripravena, zvlada postup i clovek, ktery ma
pred pocitacem respekt, ani heslo k soukromemu klici neni problem.
Dukazem je treba spolecnost, pro kterou pracuji a spousty dalsich.


-- 

\//\/\
(Sometimes credited as 1494 F8DD 6379 4CD7 E7E3 1FC9 D750 4243 1F05 9424.)

 [ When you find a virus in mail from me, then I intended to infect you, ]
 [ since I use SW that is not distributing malware w/o my knowledge.     ]