On 22/05/13 12:32, Flako wrote:
El día 22 de mayo de 2013 12:00, ciracusa<[email protected]> escribió:
On 22/05/13 11:21, Camaleón wrote:
El Wed, 22 May 2013 09:13:24 -0300, ciracusa escribió:
Les consulto, tengo montado un server Openvpn en Debian 6.
Ahora bien, la pregunta es esta, cuando genero los certificados y los
monto dentro de la carpeta "Config" (en los equipos Win2 con el cliente
de OpenVPN) como puedo evitar que "alguien" se copie esos certificados,
los lleve a otra PC y tenga el mismo acceso que en la PC que yo los
dispuse?
Podrías añadir un requerimiento adicional de seguridad como por ejemplo,
solicitar usuario/contraseña.
Saludos,
Camaleon, si si, no lo descarto.
Pero me gustaría mucho implementar algo que sea personal tipo USB/Pendrive
y/o alguna autenticación como decía Mstaaravin.
Ahora, estaba pensando, sería posible "autenticar" los hosts desde donde se
realiza la petición de autenticación para el OpenVPN?
Digo, habilitar a nivel de IPTABLES en el Server OpenVPN desde que IPs se me
conectan.
El tema es que como los clientes tienen ADSLs tendría que buscar la manera
de saber que IPs tienen en cada momento?
Si alguien se le ocurre alguna idea?
Mientras sigo buscando!
Saludos a todos!
Si queres filtrar por ip en un adsl dinámico, y no podes usar algun
servicio de nombres (dns) para ip dinamico, no le veo como vas a saber
cual es la ip valida...
Claro, la idea era esa, osea tener identificado la IP desde donde se
origina la conexión VPN mediante un servicio de DNS dinámico.
De mi parte filtrar por IP a mi no me gusta (no es seguro), tanta
seguridad vpn y te hakean el certificado y una ip valida y te entrar a
tu red...
Haber, la idea de "agregar" el filtro por la IP es justamente para
"además" de los certificados, obligar a que solo se conecten desde el
lugar que yo disponga.
Lo mas simple es password.., un pendrive, lo pueden perder o prestar
de la misma forma que un password :)
Si, lo del Pendrive lo desestimé, no así el tema de la clave, lo cual
"obliga" al responsable a no perderla ni pasarla.
Saludos
Saludos.
--
To UNSUBSCRIBE, email to [email protected]
with a subject of "unsubscribe". Trouble? Contact [email protected]
Archive: http://lists.debian.org/[email protected]
