Re: Nepodcenujte zabezpeceni OpenVPN! (was: Re: VPN přes OPENVPN a spolupráce s doménou Windows 2003)

[Petr Baláš]

On 5/21/06, Vlada Macek <tuttle na sandbox.cz> wrote:
> Nektere ze zasad pouziti OpenVPN:
>
> - Pouziti neobvykleho portu a protokolu UDP.

Opravdu je to neco, co ma smysl? Ona se OpenVPN na portu
nepredstavuje? Pokud predstavuje, tak nmap a par testu to resi
a tato rada je pouze security by obscurity.
Poud jste schopen vedet odkud se budou lide pripojovat, tak ma smysl
omezit (iptables) odkud se lze na OpenVPNku spojit.


> - Komunikace je chranena predsazenym HMAC algoritmem se sdilenym
> secretem (volba tls-auth).

Souhlas, toto je velice vhodne.


> - Server pouzije volby chroot, user a group na nobody.

Hezke ale VELICE zakerne. Pri provnim pripojeni vse funguje
ale az za tyden spadne spojeni, tak ho OpenVPN znovunavaze ale uz
jaksi nema potrebna prava na spusteni ifconfig, route ... a nic
nechodi.
Alespon oficialni FAQ pred touto zradou nevaruje a dohledavat,
proc obcas spadne spojeni a reboot to resi je docela vesele.


> - Prakticka je fixace CN klientu na IP v privatnim rozsahu. Napriklad
> pomoci voleb client-config-dir a ccd-exclusive. Posledne jmenovane jsem
> skromnym autorem. :-)

Muze byt.


> - Klient je nastaven tak, aby se nepripojil k serveru s jinym CN nez
> spravnym (volba tls-remote).

IMHO duplikuje nektere veci ale proc ne


> - Server nastavi, ze jeden certifikat lze pouzit maximalne na jedno spojeni.

Souhlas


> Zaroven definuje netrivialni HESLO k soukromemu klici,
> aby klic nemohl pouzivat kdokoli, kdo se k jeho pocitaci nekdy dostane.

U lidi o ktere se staram bude heslo bud trivialni nebo napsane na
papiru vlozenem v pocitaci. Zavidim vam vase uzivatele.
I kdyz mozna je to jen neznalost skutecneho stavu veci :-)
Stejne tak je to kravina na pobockovem routeru ktery pripojuje celou
pobocku do centra - zde musi vse nabehnout po vypadku napajeni bez
zasahu lidske ruky :-)

-- 
Petr Balas - petr.balas at gmail dot com