[FUG-BR] VPN com OpenVPN

2007-12-20 Por tôpico Marcio Antunes
Galera,

Estou com um projeto pronto de implementação de VPN usando o OpenVPN
para uma empresa que tem 25 filiais em quase todos os estados, ja
implementei um projeto piloto e funcionou no teste. O ambiente é
site-to-site e irei usar o FreeBSD em todas as pontas, porem existe
servidores Windows 2000/2003 e estações.

Gostaria de saber a opinião de vcs sobre esta implementação.

a) Quais as desvantagems desta implementação e as possiveis falhas de
segurança. ja que é usado chaves e não autenticação via usuario/senha.
b) Existe outra opção que tenha maior segurança ? e que se possivel
implementar usando até o NAT, o que não é o caso de PPTP que não pode
ser usado.

Obrigado.

-- 
Marcio Gomes

===
Linux pra quem odeia Windows
BSD pra quem ama UNIX
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] VPN com OpenVPN

2007-12-20 Por tôpico Giancarlo Rubio
Em 20/12/07, Marcio Antunes[EMAIL PROTECTED] escreveu:
 Galera,

 Estou com um projeto pronto de implementação de VPN usando o OpenVPN
 para uma empresa que tem 25 filiais em quase todos os estados, ja
 implementei um projeto piloto e funcionou no teste. O ambiente é
 site-to-site e irei usar o FreeBSD em todas as pontas, porem existe
 servidores Windows 2000/2003 e estações.

 Gostaria de saber a opinião de vcs sobre esta implementação.

 a) Quais as desvantagems desta implementação e as possiveis falhas de
 segurança. ja que é usado chaves e não autenticação via usuario/senha.

Vantagens sao muitas e acredito que vc já saiba. A desvantagem de usar
chaves é  que se alguem conseguir sua chave estará dentro da sua rede
de forma escancarada. Quer autenticação? Use esse plugin
http://freshmeat.net/projects/openvpn-auth-passwd/

 b) Existe outra opção que tenha maior segurança ? e que se possivel
 implementar usando até o NAT, o que não é o caso de PPTP que não pode
 ser usado.

Limitar o que cada máquina poderá fazer seria algo legal, mais a
proteção da tua chave já é o suficiente para garantir uma alta
segurança, apesar de vc estar rodando servidores windows que por sua
vez não são seguros.

Uma outra dica é ficar de olhos nos logs da vpn. (As vezes a paranoia
é valida :)


 Obrigado.

 --
 Marcio Gomes

 ===
 Linux pra quem odeia Windows
 BSD pra quem ama UNIX
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
Giancarlo Rubio
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] VPN com OpenVPN

2006-11-24 Por tôpico c0re dumped
Você pode usar certificados X.509 em conjunto com um script que
verifica login, senha e domínio, se for o caso.

Tambem tem a opçao de usar pre shared keys, mas não recomendo.



-- 

No stupid signatures here.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] VPN com OpenVPN

2006-11-24 Por tôpico Aristeu Gil Alves Jr
Aproveitando o ensejo, alguém já usou essas placas aceleradoras de SSL
com OpenVPN?
Houve melhora significativa? Fornecedores locais?

Abs
-- 
Aristeu Gil Alves Jr
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


[FUG-BR] VPN com OpenVPN

2006-11-23 Por tôpico Marcio Antunes
Pessoal,

É impressão minha que o OpenVPN nao precisa de senha para se
autenticar na VPN (site-to-host) ? somente com os certificados resolve
?

E ai como fica a segurança se um usuario que nao tiver acesso a VPN
copiar os certificados, ele vai ter acesso.

Estou enganado ?


Obrigado


Márcio Antunes
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] VPN com OpenVPN

2006-11-23 Por tôpico m3 BSD
certificado e senha se copiados nao garantem seguranca :)

certificados tem que ter permissao de r somente para root

2006/11/23, Marcio Antunes [EMAIL PROTECTED]:
 Pessoal,

 É impressão minha que o OpenVPN nao precisa de senha para se
 autenticar na VPN (site-to-host) ? somente com os certificados resolve
 ?

 E ai como fica a segurança se um usuario que nao tiver acesso a VPN
 copiar os certificados, ele vai ter acesso.

 Estou enganado ?


 Obrigado


 Márcio Antunes
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
Atenciosmente

Mario Augusto Mania m3BSD
---
[EMAIL PROTECTED]
Cel.: (43) 9938-9629
Msn: [EMAIL PROTECTED]
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] VPN com OpenVPN

2006-11-23 Por tôpico Marcio Antunes
Mario

Nao entendi a sua resposta, entãoe estou correto ? é somente
certificado o OpenVPN usa? pq o MPD4 usa senha ou até mesmo servidor
Radius

Obrigado

Marcio

2006/11/23, m3 BSD [EMAIL PROTECTED]:
 certificado e senha se copiados nao garantem seguranca :)

 certificados tem que ter permissao de r somente para root

 2006/11/23, Marcio Antunes [EMAIL PROTECTED]:
  Pessoal,
 
  É impressão minha que o OpenVPN nao precisa de senha para se
  autenticar na VPN (site-to-host) ? somente com os certificados resolve
  ?
 
  E ai como fica a segurança se um usuario que nao tiver acesso a VPN
  copiar os certificados, ele vai ter acesso.
 
  Estou enganado ?
 
 
  Obrigado
 
 
  Márcio Antunes
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 


 --
 Atenciosmente

 Mario Augusto Mania m3BSD
 ---
 [EMAIL PROTECTED]
 Cel.: (43) 9938-9629
 Msn: [EMAIL PROTECTED]
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] VPN com OpenVPN

2006-11-23 Por tôpico m3 BSD
cara... veja bem... vc esta confundindo as coisas :)

Tipo, existem varios metodos de autenticacao, porem, os mais comuns
sao baseados em par login/senha e o baseado em certificado...

Quanto eh uma estacao de trabalho, tipo, tem um user logado nela
quando ela vai entrarna vpn, tudo bem, login e senha ainda vai, porem,
e um servidor Imagina uma matriz na bahia e uma filiam no rio
grande de sul... jah pensou se toda vez que fosse preciso ligar a vpn
entre os dois servers tivesse que digitar um login e uma senha???

Tipo... com certeza vc deve usar ssh correto? entao... vc usa login e
senha, porem, vc pode configurar o ssh para trocar certificados :),
ae, vc loga por ssh sem digitar nada...
eh uma relacao de confianca

2006/11/23, Marcio Antunes [EMAIL PROTECTED]:
 Mario

 Nao entendi a sua resposta, entãoe estou correto ? é somente
 certificado o OpenVPN usa? pq o MPD4 usa senha ou até mesmo servidor
 Radius

 Obrigado

 Marcio

 2006/11/23, m3 BSD [EMAIL PROTECTED]:
  certificado e senha se copiados nao garantem seguranca :)
 
  certificados tem que ter permissao de r somente para root
 
  2006/11/23, Marcio Antunes [EMAIL PROTECTED]:
   Pessoal,
  
   É impressão minha que o OpenVPN nao precisa de senha para se
   autenticar na VPN (site-to-host) ? somente com os certificados resolve
   ?
  
   E ai como fica a segurança se um usuario que nao tiver acesso a VPN
   copiar os certificados, ele vai ter acesso.
  
   Estou enganado ?
  
  
   Obrigado
  
  
   Márcio Antunes
   -
   Histórico: http://www.fug.com.br/historico/html/freebsd/
   Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
  
 
 
  --
  Atenciosmente
 
  Mario Augusto Mania m3BSD
  ---
  [EMAIL PROTECTED]
  Cel.: (43) 9938-9629
  Msn: [EMAIL PROTECTED]
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
Atenciosmente

Mario Augusto Mania m3BSD
---
[EMAIL PROTECTED]
Cel.: (43) 9938-9629
Msn: [EMAIL PROTECTED]
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] VPN com OpenVPN

2006-11-23 Por tôpico Marcio Antunes
Certo Mauro, porem nao estou falando de Servidor para Servidor,
estou falando de usuario, que usa a VPN exporadicamente por
estou com essa duvida. Entre o OpenVPN ou MPD4 para fazer VPN para
usuarios acessar e nao servidores. entendeu ou eu estou confundindo
mesmo ?

A minha pergunta é se o OpenVPN aceita usuario e senha como o MPD4.

Marcio



2006/11/23, m3 BSD [EMAIL PROTECTED]:
 cara... veja bem... vc esta confundindo as coisas :)

 Tipo, existem varios metodos de autenticacao, porem, os mais comuns
 sao baseados em par login/senha e o baseado em certificado...

 Quanto eh uma estacao de trabalho, tipo, tem um user logado nela
 quando ela vai entrarna vpn, tudo bem, login e senha ainda vai, porem,
 e um servidor Imagina uma matriz na bahia e uma filiam no rio
 grande de sul... jah pensou se toda vez que fosse preciso ligar a vpn
 entre os dois servers tivesse que digitar um login e uma senha???

 Tipo... com certeza vc deve usar ssh correto? entao... vc usa login e
 senha, porem, vc pode configurar o ssh para trocar certificados :),
 ae, vc loga por ssh sem digitar nada...
 eh uma relacao de confianca

 2006/11/23, Marcio Antunes [EMAIL PROTECTED]:
  Mario
 
  Nao entendi a sua resposta, entãoe estou correto ? é somente
  certificado o OpenVPN usa? pq o MPD4 usa senha ou até mesmo servidor
  Radius
 
  Obrigado
 
  Marcio
 
  2006/11/23, m3 BSD [EMAIL PROTECTED]:
   certificado e senha se copiados nao garantem seguranca :)
  
   certificados tem que ter permissao de r somente para root
  
   2006/11/23, Marcio Antunes [EMAIL PROTECTED]:
Pessoal,
   
É impressão minha que o OpenVPN nao precisa de senha para se
autenticar na VPN (site-to-host) ? somente com os certificados resolve
?
   
E ai como fica a segurança se um usuario que nao tiver acesso a VPN
copiar os certificados, ele vai ter acesso.
   
Estou enganado ?
   
   
Obrigado
   
   
Márcio Antunes
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
   
  
  
   --
   Atenciosmente
  
   Mario Augusto Mania m3BSD
   ---
   [EMAIL PROTECTED]
   Cel.: (43) 9938-9629
   Msn: [EMAIL PROTECTED]
   -
   Histórico: http://www.fug.com.br/historico/html/freebsd/
   Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
  
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 


 --
 Atenciosmente

 Mario Augusto Mania m3BSD
 ---
 [EMAIL PROTECTED]
 Cel.: (43) 9938-9629
 Msn: [EMAIL PROTECTED]
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] VPN com OpenVPN

2006-11-23 Por tôpico m3 BSD
ah sim.. claro q sim... eh soh olhar no manual :)

procura por --auth-user-pass-verify

2006/11/23, Marcio Antunes [EMAIL PROTECTED]:
 Certo Mauro, porem nao estou falando de Servidor para Servidor,
 estou falando de usuario, que usa a VPN exporadicamente por
 estou com essa duvida. Entre o OpenVPN ou MPD4 para fazer VPN para
 usuarios acessar e nao servidores. entendeu ou eu estou confundindo
 mesmo ?

 A minha pergunta é se o OpenVPN aceita usuario e senha como o MPD4.

 Marcio



 2006/11/23, m3 BSD [EMAIL PROTECTED]:
  cara... veja bem... vc esta confundindo as coisas :)
 
  Tipo, existem varios metodos de autenticacao, porem, os mais comuns
  sao baseados em par login/senha e o baseado em certificado...
 
  Quanto eh uma estacao de trabalho, tipo, tem um user logado nela
  quando ela vai entrarna vpn, tudo bem, login e senha ainda vai, porem,
  e um servidor Imagina uma matriz na bahia e uma filiam no rio
  grande de sul... jah pensou se toda vez que fosse preciso ligar a vpn
  entre os dois servers tivesse que digitar um login e uma senha???
 
  Tipo... com certeza vc deve usar ssh correto? entao... vc usa login e
  senha, porem, vc pode configurar o ssh para trocar certificados :),
  ae, vc loga por ssh sem digitar nada...
  eh uma relacao de confianca
 
  2006/11/23, Marcio Antunes [EMAIL PROTECTED]:
   Mario
  
   Nao entendi a sua resposta, entãoe estou correto ? é somente
   certificado o OpenVPN usa? pq o MPD4 usa senha ou até mesmo servidor
   Radius
  
   Obrigado
  
   Marcio
  
   2006/11/23, m3 BSD [EMAIL PROTECTED]:
certificado e senha se copiados nao garantem seguranca :)
   
certificados tem que ter permissao de r somente para root
   
2006/11/23, Marcio Antunes [EMAIL PROTECTED]:
 Pessoal,

 É impressão minha que o OpenVPN nao precisa de senha para se
 autenticar na VPN (site-to-host) ? somente com os certificados resolve
 ?

 E ai como fica a segurança se um usuario que nao tiver acesso a VPN
 copiar os certificados, ele vai ter acesso.

 Estou enganado ?


 Obrigado


 Márcio Antunes
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

   
   
--
Atenciosmente
   
Mario Augusto Mania m3BSD
---
[EMAIL PROTECTED]
Cel.: (43) 9938-9629
Msn: [EMAIL PROTECTED]
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
   
   -
   Histórico: http://www.fug.com.br/historico/html/freebsd/
   Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
  
 
 
  --
  Atenciosmente
 
  Mario Augusto Mania m3BSD
  ---
  [EMAIL PROTECTED]
  Cel.: (43) 9938-9629
  Msn: [EMAIL PROTECTED]
  -
  Histórico: http://www.fug.com.br/historico/html/freebsd/
  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
 
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 
Atenciosmente

Mario Augusto Mania m3BSD
---
[EMAIL PROTECTED]
Cel.: (43) 9938-9629
Msn: [EMAIL PROTECTED]
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd