OpenVPN a RoadWarrior - Doporucene nastaveni s ohledem na bezpecnost
Roman Beitl
beitlr na gw.krasno.cz
Středa Prosinec 14 14:07:25 CET 2011
Dobry den,
uvital bych Vase zkusenosti s nastavenim a provozem pristupu klientu pres
OpenVPN do firemni LAN s ohledem na zabezpecni cele teto veci.
Aktualne pouzivame, nastaveni OpenVPN serveru:
- uzivatel pouziva pri spojeni osobni certifikat zabezpecny heslem
- uzivatel pouziva pri spojeni svoje username+heslo
- uzivatel ma USB flesku(nesifrovana), na ktere ma umistene
soubory(ca.crt, client1.crt, client1.key, ta.key)
- na klientovi je v INI daneho spojeni vse nasmerovano na USB flesku,
takze na danem PC neni ulozen zadny dulezity soubor
"Problem" je, ze uzivatel pro prihlaseni musi zadat uzivatelske jmeno,
heslo(netrivialni) a nasledne heslo(netrivialni) k certifikatu. Vysledek
je, ze se mi dostal do ruky notebook, kde mel uzivatel jmena a hesla na
listku a listek nalepeny na viku od pocitace... Uzivatele nyni nepouzivaji
aplikace pro spravu hesel KeePass atp.
Co jsem zkousel konkurencni produkty:
- Kerio - nepouziva osobni ani serverovy certifikat, autentizace pouze
jmeno/heslo
- Zyxel brana USG 100 - klient pouziva serverovy certifikat a jmeno/heslo
Dotaz tedy je, jestli toto co pouzivame neni zbytecne moc, jestli toto
nejak nezjednodusit(osob. certifikat bez hesla?) popr. jake nastaveni se
pouzivaji v bezne praxi, jsou uzivatelsky pouzitelna a zaroven dostatecna
z pohledu zabezpecni.
S pozdravem
Roman Beitl
Další informace o konferenci Linux