Nepodcenujte zabezpeceni OpenVPN!

[Vlada Macek]

Chtel jsem jeste dodat, ze zasady tykajici se PKI se samozrejme nevazou
pouze na OpenVPN, ale mely by platit obecne.


Petr Baláš wrote:
> On 5/21/06, Vlada Macek <tuttle na sandbox.cz> wrote:
>> Nektere ze zasad pouziti OpenVPN:
>>
>> - Pouziti neobvykleho portu a protokolu UDP.
>
> Opravdu je to neco, co ma smysl? Ona se OpenVPN na portu
> nepredstavuje? Pokud predstavuje, tak nmap a par testu to resi a tato
>  rada je pouze security by obscurity.

OpenVPN na UDP+HMAC se neozve do te doby, dokud neprijde ten spravny
HMAC paket odvozeny od sdileneho tajneho statickeho klice. Teprve pak se
session dostane ke slozitejsimu TLS kodu, ktery zatezuje CPU serveru.

Predsazeny HMAC kod je podle slov autora jednoduchy a kratky. Proto ho
lze IMO povazovat za bezpecnejsi. nmap vam nic neukaze.

Nestandardni port vzdy znamena radikalne min pokusu o prunik a otravnych
hlasek v logu. Programy crackujici naslepo zrejme krome exponencialniho
setreni casem pocitaji i s tim, ze pokud nekdo nechava podobne sluzby na
standardnich portech, venoval treba i mene energie na celkove
zabezpeceni. Myslim, ze tato uvaha muze mnohdy vyjit.

Mluvite, jako by security by obscurity bylo neco spatneho. Obskurita,
pokud je predsazena silnou ochranou, je vice nez vhodna. Silna ochrana
laka silne lamace. Co oko nevidi, neprovokuje. Myslete na to, bezpecnost
je jako zlobr.


> Poud jste schopen vedet odkud se budou lide pripojovat, tak ma smysl
>  omezit (iptables) odkud se lze na OpenVPNku spojit.

Samozrejme. Ale svym OpenVPN verim natolik, ze mi to nestoji za to
otravovani v pripade, ze nejakym mym uzivatelum nekdo podepise devizovej
prislib a oni se mi vydaji do zemi neslychanych. :-)


>> - Server pouzije volby chroot, user a group na nobody.
>
> Hezke ale VELICE zakerne. Pri provnim pripojeni vse funguje ale az za
>  tyden spadne spojeni, tak ho OpenVPN znovunavaze ale uz jaksi nema
> potrebna prava na spusteni ifconfig, route ... a nic nechodi. Alespon
>  oficialni FAQ pred touto zradou nevaruje a dohledavat, proc obcas
> spadne spojeni a reboot to resi je docela vesele.

Tento problem nepozoruji. Pouzivam OpenVPN na linuxovem serveru,
pripojuji se domaci klienti z woken a linuxu. V jailu mam jen adresar
tmp, client-config-dir a CRL, odladil jsem, ze ostatni neni potreba.

Proc by mel OpenVPN behem provozu poustet ifconfig, route a tak? To
udela jednou pri inicializaci, zapise si, ze pakety pro cely rozsah
privatni site se maji smerovat do zarizeni tun a hotovo, smytec.


>> - Klient je nastaven tak, aby se nepripojil k serveru s jinym CN
>> nez spravnym (volba tls-remote).
>
> IMHO duplikuje nektere veci ale proc ne

Kazda slupka je dobra. Podle me se tedy primo nic neduplikuje. CA muze
podepsat bambilion certifikatu OpenVPN serveru. Tohle je neco jako
parafa na dopisu. :-)


>> Zaroven definuje netrivialni HESLO k soukromemu klici, aby klic
>> nemohl pouzivat kdokoli, kdo se k jeho pocitaci nekdy dostane.
>
> U lidi o ktere se staram bude heslo bud trivialni nebo napsane na
> papiru vlozenem v pocitaci. Zavidim vam vase uzivatele. I kdyz mozna
> je to jen neznalost skutecneho stavu veci :-)

Papirkove metode se tezko zabrani. Zachazim v otravovani az tak daleko,
ze v My Cert Wizardu jsem svym uzivatelum nastavil minimalni delku hesla
tusim na 6 znaku. Nevedi, ze heslo je zcela pod jejich kontrolou a ja
nemam potrebu jim to veset na nos.

Oni mi zase nerikaji, kdy si mam nejlip rict o pridani. :-))


> Stejne tak je to kravina na pobockovem routeru ktery pripojuje celou
> pobocku do centra - zde musi vse nabehnout po vypadku napajeni bez
> zasahu lidske ruky :-)

Samozrejme jsem mluvil hlavne o domacich klientech. Spojeni
server-server, z nichz oba mam pod kontrolou a rozumne zabezpeceny, to
je jina kapitola.

-- 

\//\/\
(Sometimes credited as 1494 F8DD 6379 4CD7 E7E3 1FC9 D750 4243 1F05 9424.)

 [ When you find a virus in mail from me, then I intended to infect you, ]
 [ since I use SW that is not distributing malware w/o my knowledge.     ]