2 votos

Mis clientes de openvpn se conectan al servidor sólo con archivos .ovpn+ca.crt

Les pregunto si mis clientes se conectan al servidor openvpn a través de dos archivos solamente: client.ovpn y ca.crt, ¿Esta conexión es segura? ¿Hay algún problema de seguridad en este mecanismo? ¿La conexión está encriptada?

Sabiendo eso:

  1. Los clientes pueden conectarse sin problemas ni advertencias,
  2. El cliente Openvpn debe conectarse al servidor a través de estos cuatro archivos: client.crt client.key ca.crt client.ovpn ,
  3. client.ovpn como se muestra:

    client dev tun0 proto tcp remote IP PORT resolv-retry infinite nobind persist-key persist-tun ca ca.crt

    cert client.crt

    key client.key

    remote-cert-tls server ;tls-auth ta.key 1 cipher AES-128-CBC comp-lzo verb 3 auth-user-pass pass

Configuración del servidor:

port port 
proto tcp 
dev tun0 
ca ca.crt 
cert server.crt 
key server.key 
dh dh2048.pem 
server P.P.P.P 255.255.255.0 
ifconfig-pool-persist ipp.txt 
push "dhcp-option DNS 8.8.4.4" push "dhcp-option DNS 8.8.8.8" 
cipher AES-128-CBC 
comp-lzo 
persist-key persist-tun 
status openvpn-status.log verb 3 
client-cert-not-required 
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so login

0 votos

¿Cuál es la configuración del servidor correspondiente? ¿Se le pide al usuario una contraseña?

0 votos

@vidarlo : El usuario es promovido por una contraseña que guarda en un archivo, el usuario tiene 3 archivos solamente(client.ovpn+ca.crt+pass) ------- ** Configuración del servidor ** ------- port proto tcp dev tun0 ca ca.crt cert server.crt key server.key dh dh2048.pem server P.P.P 255. 255.255.0 ifconfig-pool-persist ipp.txt push "dhcp-option DNS 8.8.4.4" push "dhcp-option DNS 8.8.8.8" cipher AES-128-CBC comp-lzo persist-key persist-tun status openvpn-status.log verb 3 client-cert-not-required plugin /usr/lib/openvpn-plugin-auth-pam.so login

0 votos

Por favor, editar su pregunta para incluir nueva información. Como nota al margen, cuando se utiliza una contraseña, la conexión se autentifica. ¿Es esto lo suficientemente seguro? Depende del propósito de la conexión VPN y de lo que proteja. No hay una respuesta fija. En algunos casos, una VPN sin encriptar y sin autenticar puede estar muy bien. En otros, no.

3voto

vidarlo Puntos 81

En la configuración del servidor tiene las siguientes líneas:

client-cert-not-required 
plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so login 

client-cert-not-required tiene la siguiente descripción de man openvpn :

No se requiere el certificado del cliente, el cliente se autenticará sólo con su nombre/contraseña. Tenga en cuenta que el uso de esta directiva es menos seguro que exigir certificados a todos los clientes.

El plugin requiere autenticación contra PAM.

Los datos se encriptan cuando transitan por la VPN. Esto se muestra en la línea cipher AES-128-CBC que especifica qué encriptación utilizar. En general, AES se considera seguro.

Que lo considere suficientemente seguro depende de lo que intente proteger y de la calidad de las contraseñas. No hay una respuesta única para esto; tienes que definir las amenazas que consideras aplicables, y lo que es la seguridad aceptable .

Mantener una CA y distribuir certificados puede ser más trabajo que distribuir contraseñas. Esto depende de su configuración. También hace que sea más difícil configurar la VPN en un nuevo ordenador, ya que seguramente tendrá que llevar la clave relativamente larga a ese ordenador. La disminución de la seguridad de la autenticación por contraseña puede ser una compensación que merezca la pena en este aspecto.

TL;DR: Depende.

0 votos

¿Puedes explicar qué configuraciones hay que añadir para autenticar a los clientes utilizando los certificados de todos los clientes? Quiero permitir que más clientes utilicen el certificado único.

0 votos

Quitar la línea client-cert-not-required .

0 votos

¿El "client-cert-not-required" permite a muchos clientes utilizar el certificado único?

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: