OpenVPN - Solo autenticazione password


11

Quando utilizzo il client OpenVPN per Windows, posso accedere al server OpenVPN solo con un nome utente e una password. Non riesco a capire come far accadere la stessa cosa in Ubuntu. Sembra che sia richiesto un qualche tipo di certificato.

Qualche idea su quanto autenticare con un server OpenVPN con solo un nome utente e una password?

Risposte:


5

È possibile eseguire l'autenticazione utilizzando un nome utente / password perfettamente bene senza un server / certificato CA. Tuttavia, consiglio vivamente di configurarlo per verificarlo con il certificato CA per prevenire attacchi Man-in-the-Middle.

Senza alcuna verifica del server chiunque può impersonare il tuo server OpenVPN e accettare semplicemente il tuo nome utente / password. risultati:

  • L'attaccante può intercettare tutto il traffico. Poiché non verifichi il server a cui ti stai connettendo, chiunque può pretendere di essere il tuo server in una rete pubblica (o in una rete privata controllata dall'aggressore).
  • L'attaccante conosce la tua combinazione nome utente / password. Molto brutto nel caso in cui riutilizzi la stessa password anche per altre cose.

In Network Manager, funziona bene senza CA Cert come mostrato di seguito, ma per favore non usarlo così! Se non usi alcun certificato server / CA su Windows, sei davvero vulnerabile agli attacchi di cui sopra.

inserisci qui la descrizione dell'immagine


Non funziona su Ubuntu 16.04. Il pulsante 'Salva' è disabilitato fino a quando non si seleziona un certificato
Leo

1
@leo Oh, questa è un'ottima notizia. Quindi previene un altro caso di configurazioni non sicure! :-)
gertvdijk,

3

Ho trovato la risposta qui: http://openvpn.net/index.php/open-source/documentation/howto.html#auth

Ricorda, devi comunque avere il certificato del server

Utilizzo dell'autenticazione nome utente / password come unica forma di autenticazione client

Per impostazione predefinita, l'utilizzo di auth-user-pass-confirm o un plug-in di verifica nome utente / password sul server consentirà la doppia autenticazione, richiedendo che sia l'autenticazione del certificato client sia quella del nome utente / password abbiano esito positivo affinché il client possa essere autenticato.

Sebbene scoraggiato dal punto di vista della sicurezza, è anche possibile disabilitare l'uso dei certificati client e forzare solo l'autenticazione nome utente / password. Sul server:

client-certificato-non-richiesto Tali configurazioni di solito dovrebbero anche impostare:

nome-utente-come-nome-comune che indicherà al server di utilizzare il nome utente per scopi di indicizzazione in quanto utilizzerebbe il nome comune di un client che stava eseguendo l'autenticazione tramite un certificato client.

Si noti che client-cert-non-richiesto non ovvierà alla necessità di un certificato server, quindi un client che si connette a un server che utilizza client-cert-non-richiesto può rimuovere le direttive cert e key dal file di configurazione del client, ma non la direttiva ca, perché è necessario che il client verifichi il certificato del server.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.