Nepodcenujte zabezpeceni OpenVPN!

Michal Dobes dobes na tesnet.cz
Středa Květen 24 12:51:25 CEST 2006 

Lubomír Klubus napsal(a):
>> dá se částečně eliminovat uložením do systémového cert store u novějších
> OpenVPN)
> 
> Tohle se tu řešilo dva dny a nikdo ze zůčastněných odborníků na OpenVPN se
> nezmínil,
>  že certifikáty OpenVPN jdou naimportovat do Microsoftího úložiště
> certifikátů 
> a používat to odtud, místo z adresáře config ,  což asi tedy znamená,

No, jednak ta volba je celkem nová (asi 2 roky zpět), jednak zaznělo
doporučení přečíst si dokumentaci a v ní to je uvedeno (volba 
cryptoapicert). A v případě VPN řešení třeba považuji za samozřejmé,
že než začnu studovat jak to nakonfigurovat, že dost času věnuji
třeba čtení kryptoanalytického posouzení dané technologie, a celé
řadě dalších doplňkových materiálů, včetně kompletní dokumentace,
ale asi jsem naivní. :-)
Potom je na zvážení, že tohle je linuxová konference, takže se očekává
hlavně znalost linuxu a případně openvpn na něm (a tam tohle použít 
zatím nešlo, škoda). Jsem realista, když budu řešit stranu serveru
na linuxu, tak asi budu mít na krku i klienty na MS Win, takže nejsem
v tomto  purista, ale je vhodné na to nezapomínat a místním neznalost
nevyčítat. Možná ve specializované konferenci o OpenVPN by se k tomu
dospělo dříve. :-))

> Což ovšem taky znamená, že když při importu do úložiště zatrhnu, že nemá být
> klíč exportovatelný, tak celou konfiguraci Openswanu jen tak nikdo nepřenese
> na jiný počítač.

Ehm, samozřejmě systém mi nedovolí z MS cert store klíč vyexportovat,
ale pokud dokáži nabootovat z diskety, tak po internetu plave několik
prográmků, které to z toho systému po nabootování nečeho jiného pěkně
vydolují na počkání. :-)
Řešením je ukládat ty klíče do toho storu šifrované, což jsme ale zpět,
protože před jeho použitím bych musel nějak zadávat k tomu heslo.
A tohle třeba nějak nefungovalo korektně ani s microsoftím L2TP/IPsec
klientem, jestliže klíč byl chráněn heslem, tak to takový certifikát
vůbec nenašlo. Nevím, zda by to rozchodil OpenVPN (dávám tomu trošku
větší naději, protože se dá přímo definovat sériové číslo nebo jméno
v certifikátu, který se má použít).
Jinak ten certfikát nemusí být jen v MS cert store, ale klidně i na
nějaké čipové kartě/tokenu, pak už opravdu není co řešit a vše funguje
i v případě tokenu chráněného PINem, zde se systém hezky zeptá.
Na rozdíl od interního softwarového úložiště (aspoň u L2TP, OpenVPN
jsem nezkoušel). :-)

	M.

Další informace o konferenci Linux