Salve,
Sto installando OpenVPN sulla rete di casa, tanto per aver acesso
remote alla "home LAN".
La prima domanda, riguarda il messaggio per "man in the middle
attack". Da quello che ho capito, usando la configurazione default [1]
come documentata nel sito.
A questo punto, non posso capire come sia capace qualcuno di
impersonare il server, dato che le chiavi sono state create proprio
sul server e poi distribuite sui clienti. Non ce qualche "signature"
del server? Ovviamente mi manca un po di teoria sul come funziona
OpenVPN e la creazione delle chiavi via pkitool.
La seconda questione rigaurda qualsiasi modalita di autenticazione
usando user/password. Il client1 e' un computer di casa, alla stessa
LAN del server, e si conette al "boot" alla VPN, per questo non e'
necessaria nessuna opzione di auth manuale.
Mentre il secondo client e' il laptop, il quale si deve conettere
sulla LAN via internet. Io non vorrei che qualcuno clickasse sul VPN
Client (Viscosity) e si conetesse direttamente usando lo stesso
solamente i key/cert. Vorrei un qualsiasi modo di auth.
Generando i certificati per il secondo client (laptop), ho usato il
comando: pkitool --client --pass leggendo alla descrizione:
pkitool --pass client2 -> Build password-protected "client2"
certificate/key
pensavo che sarebbe richiesta una password al'utente al momento della
connessione, o cmq prima che essa cominciasse. Con viscosity come
client non accade. L'unica opzione e' usare "auth-user-pass" ma viene
richiesta sia username che password, mentre al momento della creazione
del certificate mi e' stata richiesta solamente la PEM password. Ovvero:
<---->
devo:/opt/local/etc/ovpn/certs atma$ sudo ./pkitool --server --pass ***
Generating a 2048 bit RSA private key
.........................................+++
..................................+++
writing new private key to '***.key'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
Using configuration from /opt/local/etc/ovpn/certs/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
[...]
Certificate is to be certified until Jul 8 14:37:14 2019 GMT (3650
days)
Write out database with 1 new entries
Data Base Updated
devo:/opt/local/etc/ovpn/certs atma$
<---->
A questo vorrei chiedere come funziona la opzione --pass e se e'
possibile avere qualsiasi di autenticazione senza usare ldap/radius/
pam/etc. Per me basta una semplicissima password al momento della
conessione tanto per avere un minimo di sicurezza.
Grazie
[1] Ho creato 1 dh2048.pm usando easy-rsa e poi ho usato pkitool,
creando 1 server cert/key e 2 clients cert/key
Panagiotis (atma) Atmatzidis
email: [email protected]
URL: http://www.convalesco.org
GnuPG key id: 0xFC4E8BB4
--
The wise man said: "Never argue with an idiot. They bring you down to
their level and beat you with experience."
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
