On 02/28/2013 09:12 AM, Iulian Murgulet wrote: >>> 2. risc ca reteaua _unde_ma_conectez_ sa aiba vreo comunicare cu reteaua >>> _de_unde_ma_conectez_ ? >> doar daca vrei tu. avantajul major la ipsec e ca nu se pot injecta >> pachete straine prin tunel. La tunelele SSL trebuie sa ai grija ca >> firewallul sa verifice si ce trece prin tunel > > Ar trebui sa inteleg ca de exemplu la openvpn se pot injecta pachete > straine > prin tunel? cred ca am fost ambiguu in exprimare. ma refeream la straine in sensul ca nu sint neaparat cele la care se asteapta serverul ( in cazul cel mai simplu, cu destinatii in afara celor pe care si le-ar dori serverul ), nu ca ar proveni de la calculatoare straine in esenta la ipsec se verifica atit la intrare cit si la iesire atit sursa cit si destinatia pachetelor pe cind la SSL ( openvpn-style) odata tunelul creat oricare dintre capete poate injecta orice pe acolo.
> Din cate vad eu, daca faci ce trebuie in conf-ul de > openvpn, serverul de ovpn iti ignora orice pachet. > > > "tls-auth > > The tls-auth directive adds an additional HMAC signature to all > SSL/TLS handshake packets for integrity verification. Any UDP packet > not bearing the correct HMAC signature can be dropped without further > processing. The tls-auth HMAC signature provides an additional level > of security above and beyond that provided by SSL/TLS. It can protect > against: > > DoS attacks or port flooding on the OpenVPN UDP port. > Port scanning to determine which server UDP ports are in a listening state. > Buffer overflow vulnerabilities in the SSL/TLS implementation. > SSL/TLS handshake initiations from unauthorized machines (while such > handshakes would ultimately fail to authenticate, tls-auth can cut > them off at a much earlier point)." > > > http://www.imped.net/oss/misc/openvpn-2.0-howto-edit.html#security > > ghici ce se intimpla daca pe client adaugi de mina niste rute prin tunel, in plus fata de ceea ce iti da serverul dhcp al serverului ( si presupunind ca pe server nu se face o filtrare adecvata din firewall ). spre pilda, ce crezi ca se va intimpla daca tu pe server in ccd/xulescu ai push "route 10.11.12.3 255.255.255.255" iar xulescu la el pe masina ruleaza ceva de genul ip r a 10.11.12.0/24 dev tun0 _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
