Nepodcenujte zabezpeceni OpenVPN!

[Petr Baláš]

On 5/21/06, Vlada Macek <tuttle na sandbox.cz> wrote:
>
> Chtel jsem jeste dodat, ze zasady tykajici se PKI se samozrejme nevazou
> pouze na OpenVPN, ale mely by platit obecne.
>
>
> Petr Baláš wrote:
> > On 5/21/06, Vlada Macek <tuttle na sandbox.cz> wrote:
> >> Nektere ze zasad pouziti OpenVPN:
> >>
> >> - Pouziti neobvykleho portu a protokolu UDP.
> >
> > Opravdu je to neco, co ma smysl? Ona se OpenVPN na portu
> > nepredstavuje? Pokud predstavuje, tak nmap a par testu to resi a tato
> >  rada je pouze security by obscurity.
>
> OpenVPN na UDP+HMAC se neozve do te doby, dokud neprijde ten spravny
> HMAC paket odvozeny od sdileneho tajneho statickeho klice. Teprve pak se
> session dostane ke slozitejsimu TLS kodu, ktery zatezuje CPU serveru.
>
> Predsazeny HMAC kod je podle slov autora jednoduchy a kratky. Proto ho
> lze IMO povazovat za bezpecnejsi. nmap vam nic neukaze.
>
> Nestandardni port vzdy znamena radikalne min pokusu o prunik a otravnych
> hlasek v logu. Programy crackujici naslepo zrejme krome exponencialniho
> setreni casem pocitaji i s tim, ze pokud nekdo nechava podobne sluzby na
> standardnich portech, venoval treba i mene energie na celkove
> zabezpeceni. Myslim, ze tato uvaha muze mnohdy vyjit.
>
> Mluvite, jako by security by obscurity bylo neco spatneho. Obskurita,
> pokud je predsazena silnou ochranou, je vice nez vhodna. Silna ochrana
> laka silne lamace. Co oko nevidi, neprovokuje. Myslete na to, bezpecnost
> je jako zlobr.

:-) ok proc ne ale ja svyn OpenVPN verim takze timto jsem se nezatezoval.


> > Poud jste schopen vedet odkud se budou lide pripojovat, tak ma smysl
> >  omezit (iptables) odkud se lze na OpenVPNku spojit.
>
> Samozrejme. Ale svym OpenVPN verim natolik, ze mi to nestoji za to
> otravovani v pripade, ze nejakym mym uzivatelum nekdo podepise devizovej
> prislib a oni se mi vydaji do zemi neslychanych. :-)

Toto je spis pro pripad pokud jej pouzivate jen mezi pobockami.
Ale dalo by se argumentovat stejne jako vy o odpoved vyse :-)


> >> - Server pouzije volby chroot, user a group na nobody.
> >
> > Hezke ale VELICE zakerne. Pri provnim pripojeni vse funguje ale az za
> >  tyden spadne spojeni, tak ho OpenVPN znovunavaze ale uz jaksi nema
> > potrebna prava na spusteni ifconfig, route ... a nic nechodi. Alespon
> >  oficialni FAQ pred touto zradou nevaruje a dohledavat, proc obcas
> > spadne spojeni a reboot to resi je docela vesele.
>
> Tento problem nepozoruji. Pouzivam OpenVPN na linuxovem serveru,
> pripojuji se domaci klienti z woken a linuxu. V jailu mam jen adresar
> tmp, client-config-dir a CRL, odladil jsem, ze ostatni neni potreba.
>
> Proc by mel OpenVPN behem provozu poustet ifconfig, route a tak? To
> udela jednou pri inicializaci, zapise si, ze pakety pro cely rozsah
> privatni site se maji smerovat do zarizeni tun a hotovo, smytec.

Stalo se mi to kdyz tlacim route a iroute ze serveru na pobocku.
Kousek z logu pobocky:
Sat Oct  8 13:51:44 2005 TCP/UDP: Closing socket
Sat Oct  8 13:51:44 2005 /sbin/route del -net 10.8.0.0 netmask 255.255.255.0
SIOCDELRT: Operation not permitted
Sat Oct  8 13:51:44 2005 ERROR: Linux route delete command failed:
shell command exited with error status: 7
Sat Oct  8 13:51:44 2005 Closing TUN/TAP interface
Sat Oct  8 13:51:44 2005 SIGTERM[hard,] received, process exiting


> >> - Klient je nastaven tak, aby se nepripojil k serveru s jinym CN
> >> nez spravnym (volba tls-remote).
> >
> > IMHO duplikuje nektere veci ale proc ne
>
> Kazda slupka je dobra. Podle me se tedy primo nic neduplikuje. CA muze
> podepsat bambilion certifikatu OpenVPN serveru. Tohle je neco jako
> parafa na dopisu. :-)

Drzim se zasady ze co OpenVPN server to vlastni CA (easy-ca to jisti)
pak to IMHO je zbytecne

-- 
Petr Balas - petr.balas at gmail dot com