Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
El jue, 23-05-2013 a las 07:27 -0300, ciracusa escribió: Flako, gracias por tu respuesta. Va entre tus líneas: On 22/05/13 19:59, Flako wrote: El día 22 de mayo de 2013 19:16, ciracusacirac...@gmail.com escribió: On 22/05/13 12:32, Flako wrote: De mi parte filtrar por IP a mi no me gusta (no es seguro), tanta seguridad vpn y te hakean el certificado y una ip valida y te entrar a tu red... Haber, la idea de agregar el filtro por la IP es justamente para además de los certificados, obligar a que solo se conecten desde el lugar que yo disponga. No se si estamos hablando de lo mismo.. yo me refiero a que cualquier filtro de ip que se realice pensando en aumentar la seguridad (pensando en autenticar a un host remoto) no sirve de nada.. No te da mas seguridad.. es muy fácil (pa el que sabe), hacerse pasar por una ip valida.. y tu idea de conecten desde el lugar que yo disponga se va al diablo. Entiendo, pero la idea es aumentar un poco la seguridad. Puedes hacer un filtro por ip, pero solo va ser un decorado.. , no lo pienses como algo que va a impedir que se conecte otro... Si estas penando en que alguien se puede robar tu certificado, deberías tener en cuenta que también te roben alguna de esas ip validas... En mi caso, sería mas probable que se roben los certificados y directamente se conecten a que se roben los certificados y luego tengan en cuenta el tema de la ip desde donde origina la nueva conexión. Ya que estamos te consulto, me puedes comentar como un usuario luego de robar mis certificados puede irse a su casa -por ejemplo- y simular la IP pública que yo tendría habilitada? IP Spoofing: http://es.wikipedia.org/wiki/Spoofing Es cierto que se puede hacer pero no es tan fácil. Como te estás haciendo pasar por otra IP las respuestas no te llegan a ti sino a la IP falsificada. A menos que también tengas acceso a la IP falsificada (con lo cual quizá ya no te interesa hacer un ataque IP spoofing) la comunicación es a ciegas. Tu envías paquetes pero no ves las respuestas. Para poder predecir las respuestas que el servidor envía (y que tu no ves) debes haber estudiado antes al milímetro el comportamiento del entorno donde estas haciendo el ataque, especialmente para predecir el numero de secuencia TCP. Con nmap -O -v ipservidor puedes medir la dificultad del ataque: TCP Sequence Prediction: Difficulty=263 (Good luck!) Saludos. -- Francesc Guitart -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1369469200.2400.11.camel@negret
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
Flako, gracias por tu respuesta. Va entre tus líneas: On 22/05/13 19:59, Flako wrote: El día 22 de mayo de 2013 19:16, ciracusacirac...@gmail.com escribió: On 22/05/13 12:32, Flako wrote: De mi parte filtrar por IP a mi no me gusta (no es seguro), tanta seguridad vpn y te hakean el certificado y una ip valida y te entrar a tu red... Haber, la idea de agregar el filtro por la IP es justamente para además de los certificados, obligar a que solo se conecten desde el lugar que yo disponga. No se si estamos hablando de lo mismo.. yo me refiero a que cualquier filtro de ip que se realice pensando en aumentar la seguridad (pensando en autenticar a un host remoto) no sirve de nada.. No te da mas seguridad.. es muy fácil (pa el que sabe), hacerse pasar por una ip valida.. y tu idea de conecten desde el lugar que yo disponga se va al diablo. Entiendo, pero la idea es aumentar un poco la seguridad. Puedes hacer un filtro por ip, pero solo va ser un decorado.. , no lo pienses como algo que va a impedir que se conecte otro... Si estas penando en que alguien se puede robar tu certificado, deberías tener en cuenta que también te roben alguna de esas ip validas... En mi caso, sería mas probable que se roben los certificados y directamente se conecten a que se roben los certificados y luego tengan en cuenta el tema de la ip desde donde origina la nueva conexión. Ya que estamos te consulto, me puedes comentar como un usuario luego de robar mis certificados puede irse a su casa -por ejemplo- y simular la IP pública que yo tendría habilitada? Muchas Gracias. Saludos. en estos tiempos ni se lo piensa como algo importante.. solo agrega un obstáculo mas.. es muy fácil -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/519def26.1070...@gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
El Wed, 22 May 2013 19:19:35 -0300, ciracusa escribió: On 22/05/13 13:02, Camaleón wrote: (...) El tema es que como los clientes tienen ADSLs tendría que buscar la manera de saber que IPs tienen en cada momento? (...) Y cambiarla continuamente... no, no me parece una buena idea ni tampoco práctica. Ok, que me sugieres tú para asegurarme que algún pillo no les robe los certificados VPN y tenga pleno acceso contra mis servidores? Si de verdad te preocupa la seguridad, para equipos portátiles recomendaría el cifrado completo del disco duro (en windows esto suele ser más sencillo) y políticas de gestión de contraseña (tanto del sistema local como del remoto/VPN) endurecidas. Y sobre todo, ya que es lo que al fin y cabo vas a poder controlar tú mismo, análisis y monitorización constante del servidor que gestione la VPN para que en el caso de se produzca alguna violación o accesos no autorizados, revoques los certificados de esos clientes cuanto antes. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/knl74c$3ac$3...@ger.gmane.org
OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
Lista, buenos días. Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Muchas Gracias. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/519cb664.3060...@gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
2013/5/22 ciracusa cirac...@gmail.com Lista, buenos días. Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Tu planteamiento es incorrecto. No vas a poder proteger esos certificados con mas de lo que te brinda el SO, en todo caso deberías proteger la conexión. Para lo cual podrías crear nuevos certificados cliente con ./build-key-pass entonces para una conexión exitosa necesitarías los certificados correctos y un password. Mas sofisticado seria usar autenticación centralizada contra una DB o un Active Directory O más sofisticación aún usar los certificados en conjunto con un token USB Saludos -- La Voluntad es el único motor de nuestros logros http://blog.ngen.com.ar/
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
Puede que quieras ponerle muchisima seguridad pero hay un factor humano en existencia que es el factor de riesgo por lo cual los descuidos estan siempre, pero seria buena practica que la autenticación no solo sea por certificado sino tamb contra un dominio es decir. utilizar conexión por certificado para iniciar la conexión pero que se autentique contra un ldap con usuario y contraseña ademas podes agregar una password al certificado. http://www.howtoforge.com/setting-up-an-openvpn-server-with-authentication-against-openldap-on-ubuntu-10.04-lts slds. El 22 de mayo de 2013 09:13, ciracusa cirac...@gmail.com escribió: Lista, buenos días. Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Muchas Gracias. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@**lists.debian.orgdebian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/**519cb664.3060...@gmail.comhttp://lists.debian.org/519cb664.3060...@gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
Lista, buenos días. Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Supongo que tendrías que buscar una solución por el lado del servidor VPN y no del cliente. Entiendo que es más sencillo, y a la vez más seguro, de esa forma. Espero que estos links puedan darte alguna idea: http://openvpn.net/archive/openvpn-users/2006-05/msg00194.html http://openvpn.net/archive/openvpn-users/2006-05/msg00206.html https://forums.openvpn.net/authentication-scripts-f16.html -- Luis -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/519cb664.3060...@gmail.com -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/caljfk2ay0yhbwkzhd2jvqzx18ivwzqjwtw7udqhoeea2l95...@mail.gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
El día 22 de mayo de 2013 09:13, ciracusa cirac...@gmail.com escribió: Lista, buenos días. Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Muchas Gracias. Saludos. Como te dice, deberías pedir un password al user. El certificado es como si fuese una tarjeta magnética de un banco.. si la perdes.. y la usa otra persona no es culpa de tarjeta...(si del sistema/esquema en general).. los bancos usan un PIN y un seguro de 24hs para estos casos.. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CADqxbRTpwzLjVBC+vjC61R6=DwFPJJcFkq=c-55h1o4+dua...@mail.gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
Msta (aravin) que gusto leerte a pesar del reto Te respondo entre tus líneas: On 22/05/13 09:48, Carlos Miranda Molina (Mstaaravin) wrote: 2013/5/22 ciracusa cirac...@gmail.com mailto:cirac...@gmail.com Lista, buenos días. Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Tu planteamiento es incorrecto. La idea era consultar diferentes escenarios. No vas a poder proteger esos certificados con mas de lo que te brinda el SO, en todo caso deberías proteger la conexión. Ok. Para lo cual podrías crear nuevos certificados cliente con ./build-key-pass entonces para una conexión exitosa necesitarías los certificados correctos y un password. Ok. Mas sofisticado seria usar autenticación centralizada contra una DB o un Active Directory Tenes algún ejemplo sobre alguna implementación sobre Plataformas Libres¿? O más sofisticación aún usar los certificados en conjunto con un token USB Esta era la idea, o lo que buscaba, pero no se como buscar esta solución. Saludos -- La Voluntad es el único motor de nuestros logros http://blog.ngen.com.ar/ Muchas Gracias! Saludos.
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
Flako, va entre tus líneas: On 22/05/13 10:21, Flako wrote: El día 22 de mayo de 2013 09:13, ciracusacirac...@gmail.com escribió: Lista, buenos días. Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Muchas Gracias. Saludos. Como te dice, deberías pedir un password al user. ok. El certificado es como si fuese una tarjeta magnética de un banco.. si la perdes.. y la usa otra persona no es culpa de tarjeta...(si del sistema/esquema en general).. Ok, yo no dije lo contrario. Solo les pedí una opinión. los bancos usan un PIN y un seguro de 24hs para estos casos.. Ok! Muchas Gracias! Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/519cceea.6070...@gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
El Wed, 22 May 2013 09:13:24 -0300, ciracusa escribió: Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Podrías añadir un requerimiento adicional de seguridad como por ejemplo, solicitar usuario/contraseña. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/knik8l$83g$7...@ger.gmane.org
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
El día 22 de mayo de 2013 10:58, ciracusa cirac...@gmail.com escribió: Flako, va entre tus líneas: El certificado es como si fuese una tarjeta magnética de un banco.. si la perdes.. y la usa otra persona no es culpa de tarjeta...(si del sistema/esquema en general).. Ok, yo no dije lo contrario. Solo les pedí una opinión. Si lo se :), solo fue una aclaración, porque a veces uno no sabes que tanto conocimiento técnico tiene la otra persona.. Yo hago lo mismo en los foros... pedí una opinión, uno puede estar equivocado o puede haber una mejor solución :) Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cadqxbrruvsc37enmljhjopgwwngyvxjg8skgz8qksm1dbde...@mail.gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
On 22/05/13 11:21, Camaleón wrote: El Wed, 22 May 2013 09:13:24 -0300, ciracusa escribió: Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Podrías añadir un requerimiento adicional de seguridad como por ejemplo, solicitar usuario/contraseña. Saludos, Camaleon, si si, no lo descarto. Pero me gustaría mucho implementar algo que sea personal tipo USB/Pendrive y/o alguna autenticación como decía Mstaaravin. Ahora, estaba pensando, sería posible autenticar los hosts desde donde se realiza la petición de autenticación para el OpenVPN? Digo, habilitar a nivel de IPTABLES en el Server OpenVPN desde que IPs se me conectan. El tema es que como los clientes tienen ADSLs tendría que buscar la manera de saber que IPs tienen en cada momento? Si alguien se le ocurre alguna idea? Mientras sigo buscando! Saludos a todos! -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/519cdd8c.5050...@gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
El día 22 de mayo de 2013 12:00, ciracusa cirac...@gmail.com escribió: On 22/05/13 11:21, Camaleón wrote: El Wed, 22 May 2013 09:13:24 -0300, ciracusa escribió: Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Podrías añadir un requerimiento adicional de seguridad como por ejemplo, solicitar usuario/contraseña. Saludos, Camaleon, si si, no lo descarto. Pero me gustaría mucho implementar algo que sea personal tipo USB/Pendrive y/o alguna autenticación como decía Mstaaravin. Ahora, estaba pensando, sería posible autenticar los hosts desde donde se realiza la petición de autenticación para el OpenVPN? Digo, habilitar a nivel de IPTABLES en el Server OpenVPN desde que IPs se me conectan. El tema es que como los clientes tienen ADSLs tendría que buscar la manera de saber que IPs tienen en cada momento? Si alguien se le ocurre alguna idea? Mientras sigo buscando! Saludos a todos! Si queres filtrar por ip en un adsl dinámico, y no podes usar algun servicio de nombres (dns) para ip dinamico, no le veo como vas a saber cual es la ip valida... De mi parte filtrar por IP a mi no me gusta (no es seguro), tanta seguridad vpn y te hakean el certificado y una ip valida y te entrar a tu red... Lo mas simple es password.., un pendrive, lo pueden perder o prestar de la misma forma que un password :) Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cadqxbrq1q1zmjf6tkfywxxbcese3e_hsoheyq61txntcu06...@mail.gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
El Wed, 22 May 2013 12:00:28 -0300, ciracusa escribió: On 22/05/13 11:21, Camaleón wrote: (...) Podrías añadir un requerimiento adicional de seguridad como por ejemplo, solicitar usuario/contraseña. Camaleon, si si, no lo descarto. Pero me gustaría mucho implementar algo que sea personal tipo USB/Pendrive y/o alguna autenticación como decía Mstaaravin. Hum... tengo filtrados a varios usuarios de esta lista así que no leo/veo sus mensajes por lo que no sé a qué te refieres exactamente con algo personal tipo USB ¿quieres decir una solución de tipo OTP (generador de contraseñas al vuelo? ¿o a un hardware de seguridad? Porque una llave USB también se la pueden llevar. Ahora, estaba pensando, sería posible autenticar los hosts desde donde se realiza la petición de autenticación para el OpenVPN? Digo, habilitar a nivel de IPTABLES en el Server OpenVPN desde que IPs se me conectan. Ese sistema de vincular una IP con un usuario no suele dar buen resultado para los road-warrior ya que la mayoría de las conexiones que usan son de IP dinámica o salen a través de un NAT/proxy. El tema es que como los clientes tienen ADSLs tendría que buscar la manera de saber que IPs tienen en cada momento? (...) Y cambiarla continuamente... no, no me parece una buena idea ni tampoco práctica. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/kniq78$83g$8...@ger.gmane.org
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
On 22/05/13 12:32, Flako wrote: El día 22 de mayo de 2013 12:00, ciracusacirac...@gmail.com escribió: On 22/05/13 11:21, Camaleón wrote: El Wed, 22 May 2013 09:13:24 -0300, ciracusa escribió: Les consulto, tengo montado un server Openvpn en Debian 6. Ahora bien, la pregunta es esta, cuando genero los certificados y los monto dentro de la carpeta Config (en los equipos Win2 con el cliente de OpenVPN) como puedo evitar que alguien se copie esos certificados, los lleve a otra PC y tenga el mismo acceso que en la PC que yo los dispuse? Podrías añadir un requerimiento adicional de seguridad como por ejemplo, solicitar usuario/contraseña. Saludos, Camaleon, si si, no lo descarto. Pero me gustaría mucho implementar algo que sea personal tipo USB/Pendrive y/o alguna autenticación como decía Mstaaravin. Ahora, estaba pensando, sería posible autenticar los hosts desde donde se realiza la petición de autenticación para el OpenVPN? Digo, habilitar a nivel de IPTABLES en el Server OpenVPN desde que IPs se me conectan. El tema es que como los clientes tienen ADSLs tendría que buscar la manera de saber que IPs tienen en cada momento? Si alguien se le ocurre alguna idea? Mientras sigo buscando! Saludos a todos! Si queres filtrar por ip en un adsl dinámico, y no podes usar algun servicio de nombres (dns) para ip dinamico, no le veo como vas a saber cual es la ip valida... Claro, la idea era esa, osea tener identificado la IP desde donde se origina la conexión VPN mediante un servicio de DNS dinámico. De mi parte filtrar por IP a mi no me gusta (no es seguro), tanta seguridad vpn y te hakean el certificado y una ip valida y te entrar a tu red... Haber, la idea de agregar el filtro por la IP es justamente para además de los certificados, obligar a que solo se conecten desde el lugar que yo disponga. Lo mas simple es password.., un pendrive, lo pueden perder o prestar de la misma forma que un password :) Si, lo del Pendrive lo desestimé, no así el tema de la clave, lo cual obliga al responsable a no perderla ni pasarla. Saludos Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/519d43b0.1080...@gmail.com
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
On 22/05/13 13:02, Camaleón wrote: El Wed, 22 May 2013 12:00:28 -0300, ciracusa escribió: On 22/05/13 11:21, Camaleón wrote: (...) Podrías añadir un requerimiento adicional de seguridad como por ejemplo, solicitar usuario/contraseña. Camaleon, si si, no lo descarto. Pero me gustaría mucho implementar algo que sea personal tipo USB/Pendrive y/o alguna autenticación como decía Mstaaravin. Hum... tengo filtrados a varios usuarios de esta lista así que no leo/veo sus mensajes por lo que no sé a qué te refieres exactamente con algo personal tipo USB ¿quieres decir una solución de tipo OTP (generador de contraseñas al vuelo? ¿o a un hardware de seguridad? Porque una llave USB también se la pueden llevar. Si tienes razón, luego de analizarlo estoy viendo este panorama: - Certificados VPN con clave al conectar. - Filtrar con Iptables en el Server OPENVPN desde donde se conectan (de esto aún no pude buscar información por la querida internet). Ahora, estaba pensando, sería posible autenticar los hosts desde donde se realiza la petición de autenticación para el OpenVPN? Digo, habilitar a nivel de IPTABLES en el Server OpenVPN desde que IPs se me conectan. Ese sistema de vincular una IP con un usuario no suele dar buen resultado para los road-warrior ya que la mayoría de las conexiones que usan son de IP dinámica o salen a través de un NAT/proxy. Te comento, en mi caso solo tendré 2 clientes y si bien son RoadWarrior, deberían trabajar de lugares remotos pero fijos, vamos, no son viajantes que recorren el País. Sobre lo del NAT/Proxy es un tema que me preocupa. El tema es que como los clientes tienen ADSLs tendría que buscar la manera de saber que IPs tienen en cada momento? (...) Y cambiarla continuamente... no, no me parece una buena idea ni tampoco práctica. Saludos, Ok, que me sugieres tú para asegurarme que algún pillo no les robe los certificados VPN y tenga pleno acceso contra mis servidores? Muchas Gracias. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/519d4477.8020...@gmail.com
Fwd: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
2013/5/22 ciracusa cirac...@gmail.com ** Mas sofisticado seria usar autenticación centralizada contra una DB o un Active Directory Tenes algún ejemplo sobre alguna implementación sobre Plataformas Libres¿? Es cuestión de buscar en Google. O más sofisticación aún usar los certificados en conjunto con un token USB Esta era la idea, o lo que buscaba, pero no se como buscar esta solución. Tambien buscando Openvpn + token en Google. Una de las ventajas de usar los clásicos certificados + password es que con robarse los certificados no es suficiente. Si ademas validas la autenticación con un backend en una base de datos, ldap o un Active Directory (estoy con esto mismo ahora) puedes cambiar regularmente el password manteniendo los certificados y no vas a tener mayores problemas. Pero, contra lo que nunca va a poder lidiar del todo bien es contra la deslealtad de un empleado. Saludos -- La Voluntad es el único motor de nuestros logros http://blog.ngen.com.ar/
Re: OpenVPN Roadwarrior - Proteger certificados que se instalan en equipos clientes Win2
El día 22 de mayo de 2013 19:16, ciracusa cirac...@gmail.com escribió: On 22/05/13 12:32, Flako wrote: De mi parte filtrar por IP a mi no me gusta (no es seguro), tanta seguridad vpn y te hakean el certificado y una ip valida y te entrar a tu red... Haber, la idea de agregar el filtro por la IP es justamente para además de los certificados, obligar a que solo se conecten desde el lugar que yo disponga. No se si estamos hablando de lo mismo.. yo me refiero a que cualquier filtro de ip que se realice pensando en aumentar la seguridad (pensando en autenticar a un host remoto) no sirve de nada.. No te da mas seguridad.. es muy fácil (pa el que sabe), hacerse pasar por una ip valida.. y tu idea de conecten desde el lugar que yo disponga se va al diablo. Puedes hacer un filtro por ip, pero solo va ser un decorado.. , no lo pienses como algo que va a impedir que se conecte otro... Si estas penando en que alguien se puede robar tu certificado, deberías tener en cuenta que también te roben alguna de esas ip validas... en estos tiempos ni se lo piensa como algo importante.. solo agrega un obstáculo mas.. es muy fácil -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CADqxbRT8day9GrmXp3rD=jvfth9stco7h_yewgv62hmzt9o...@mail.gmail.com