Re: [FUG-BR] VPN com OpenVPN
Em 20/12/07, Marcio Antunes<[EMAIL PROTECTED]> escreveu: > Galera, > > Estou com um projeto pronto de implementação de VPN usando o OpenVPN > para uma empresa que tem 25 filiais em quase todos os estados, ja > implementei um projeto piloto e funcionou no teste. O ambiente é > site-to-site e irei usar o FreeBSD em todas as pontas, porem existe > servidores Windows 2000/2003 e estações. > > Gostaria de saber a opinião de vcs sobre esta implementação. > > a) Quais as desvantagems desta implementação e as possiveis falhas de > segurança. ja que é usado chaves e não autenticação via usuario/senha. Vantagens sao muitas e acredito que vc já saiba. A desvantagem de usar chaves é que se alguem conseguir sua chave estará dentro da sua rede de forma escancarada. Quer autenticação? Use esse plugin http://freshmeat.net/projects/openvpn-auth-passwd/ > b) Existe outra opção que tenha maior segurança ? e que se possivel > implementar usando até o NAT, o que não é o caso de PPTP que não pode > ser usado. Limitar o que cada máquina poderá fazer seria algo legal, mais a proteção da tua chave já é o suficiente para garantir uma alta segurança, apesar de vc estar rodando servidores windows que por sua vez não são seguros. Uma outra dica é ficar de olhos nos logs da vpn. (As vezes a paranoia é valida :) > > Obrigado. > > -- > Marcio Gomes > > === > Linux pra quem odeia Windows > BSD pra quem ama UNIX > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] VPN com OpenVPN
Galera, Estou com um projeto pronto de implementação de VPN usando o OpenVPN para uma empresa que tem 25 filiais em quase todos os estados, ja implementei um projeto piloto e funcionou no teste. O ambiente é site-to-site e irei usar o FreeBSD em todas as pontas, porem existe servidores Windows 2000/2003 e estações. Gostaria de saber a opinião de vcs sobre esta implementação. a) Quais as desvantagems desta implementação e as possiveis falhas de segurança. ja que é usado chaves e não autenticação via usuario/senha. b) Existe outra opção que tenha maior segurança ? e que se possivel implementar usando até o NAT, o que não é o caso de PPTP que não pode ser usado. Obrigado. -- Marcio Gomes === Linux pra quem odeia Windows BSD pra quem ama UNIX - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN com OpenVPN
Aproveitando o ensejo, alguém já usou essas placas aceleradoras de SSL com OpenVPN? Houve melhora significativa? Fornecedores locais? Abs -- Aristeu Gil Alves Jr - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN com OpenVPN
Você pode usar certificados X.509 em conjunto com um script que verifica login, senha e domínio, se for o caso. Tambem tem a opçao de usar pre shared keys, mas não recomendo. -- No stupid signatures here. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN com OpenVPN
ah sim.. claro q sim... eh soh olhar no manual :) procura por --auth-user-pass-verify 2006/11/23, Marcio Antunes <[EMAIL PROTECTED]>: > Certo Mauro, porem nao estou falando de Servidor para Servidor, > estou falando de usuario, que usa a VPN exporadicamente por > estou com essa duvida. Entre o OpenVPN ou MPD4 para fazer VPN para > usuarios acessar e nao servidores. entendeu ou eu estou confundindo > mesmo ? > > A minha pergunta é se o OpenVPN aceita usuario e senha como o MPD4. > > Marcio > > > > 2006/11/23, m3 BSD <[EMAIL PROTECTED]>: > > cara... veja bem... vc esta confundindo as coisas :) > > > > Tipo, existem varios metodos de autenticacao, porem, os mais comuns > > sao baseados em par login/senha e o baseado em certificado... > > > > Quanto eh uma estacao de trabalho, tipo, tem um user logado nela > > quando ela vai entrarna vpn, tudo bem, login e senha ainda vai, porem, > > e um servidor Imagina uma matriz na bahia e uma filiam no rio > > grande de sul... jah pensou se toda vez que fosse preciso ligar a vpn > > entre os dois servers tivesse que digitar um login e uma senha??? > > > > Tipo... com certeza vc deve usar ssh correto? entao... vc usa login e > > senha, porem, vc pode configurar o ssh para trocar certificados :), > > ae, vc loga por ssh sem digitar nada... > > eh uma relacao de confianca > > > > 2006/11/23, Marcio Antunes <[EMAIL PROTECTED]>: > > > Mario > > > > > > Nao entendi a sua resposta, entãoe estou correto ? é somente > > > certificado o OpenVPN usa? pq o MPD4 usa senha ou até mesmo servidor > > > Radius > > > > > > Obrigado > > > > > > Marcio > > > > > > 2006/11/23, m3 BSD <[EMAIL PROTECTED]>: > > > > certificado e senha se copiados nao garantem seguranca :) > > > > > > > > certificados tem que ter permissao de r somente para root > > > > > > > > 2006/11/23, Marcio Antunes <[EMAIL PROTECTED]>: > > > > > Pessoal, > > > > > > > > > > É impressão minha que o OpenVPN nao precisa de senha para se > > > > > autenticar na VPN (site-to-host) ? somente com os certificados resolve > > > > > ? > > > > > > > > > > E ai como fica a segurança se um usuario que nao tiver acesso a VPN > > > > > copiar os certificados, ele vai ter acesso. > > > > > > > > > > Estou enganado ? > > > > > > > > > > > > > > > Obrigado > > > > > > > > > > > > > > > Márcio Antunes > > > > > - > > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > > > > > > > > > -- > > > > Atenciosmente > > > > > > > > Mario Augusto Mania > > > > --- > > > > [EMAIL PROTECTED] > > > > Cel.: (43) 9938-9629 > > > > Msn: [EMAIL PROTECTED] > > > > - > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > - > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > -- > > Atenciosmente > > > > Mario Augusto Mania > > --- > > [EMAIL PROTECTED] > > Cel.: (43) 9938-9629 > > Msn: [EMAIL PROTECTED] > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Atenciosmente Mario Augusto Mania --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN com OpenVPN
Certo Mauro, porem nao estou falando de Servidor para Servidor, estou falando de usuario, que usa a VPN exporadicamente por estou com essa duvida. Entre o OpenVPN ou MPD4 para fazer VPN para usuarios acessar e nao servidores. entendeu ou eu estou confundindo mesmo ? A minha pergunta é se o OpenVPN aceita usuario e senha como o MPD4. Marcio 2006/11/23, m3 BSD <[EMAIL PROTECTED]>: > cara... veja bem... vc esta confundindo as coisas :) > > Tipo, existem varios metodos de autenticacao, porem, os mais comuns > sao baseados em par login/senha e o baseado em certificado... > > Quanto eh uma estacao de trabalho, tipo, tem um user logado nela > quando ela vai entrarna vpn, tudo bem, login e senha ainda vai, porem, > e um servidor Imagina uma matriz na bahia e uma filiam no rio > grande de sul... jah pensou se toda vez que fosse preciso ligar a vpn > entre os dois servers tivesse que digitar um login e uma senha??? > > Tipo... com certeza vc deve usar ssh correto? entao... vc usa login e > senha, porem, vc pode configurar o ssh para trocar certificados :), > ae, vc loga por ssh sem digitar nada... > eh uma relacao de confianca > > 2006/11/23, Marcio Antunes <[EMAIL PROTECTED]>: > > Mario > > > > Nao entendi a sua resposta, entãoe estou correto ? é somente > > certificado o OpenVPN usa? pq o MPD4 usa senha ou até mesmo servidor > > Radius > > > > Obrigado > > > > Marcio > > > > 2006/11/23, m3 BSD <[EMAIL PROTECTED]>: > > > certificado e senha se copiados nao garantem seguranca :) > > > > > > certificados tem que ter permissao de r somente para root > > > > > > 2006/11/23, Marcio Antunes <[EMAIL PROTECTED]>: > > > > Pessoal, > > > > > > > > É impressão minha que o OpenVPN nao precisa de senha para se > > > > autenticar na VPN (site-to-host) ? somente com os certificados resolve > > > > ? > > > > > > > > E ai como fica a segurança se um usuario que nao tiver acesso a VPN > > > > copiar os certificados, ele vai ter acesso. > > > > > > > > Estou enganado ? > > > > > > > > > > > > Obrigado > > > > > > > > > > > > Márcio Antunes > > > > - > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > > > > > -- > > > Atenciosmente > > > > > > Mario Augusto Mania > > > --- > > > [EMAIL PROTECTED] > > > Cel.: (43) 9938-9629 > > > Msn: [EMAIL PROTECTED] > > > - > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > -- > Atenciosmente > > Mario Augusto Mania > --- > [EMAIL PROTECTED] > Cel.: (43) 9938-9629 > Msn: [EMAIL PROTECTED] > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN com OpenVPN
cara... veja bem... vc esta confundindo as coisas :) Tipo, existem varios metodos de autenticacao, porem, os mais comuns sao baseados em par login/senha e o baseado em certificado... Quanto eh uma estacao de trabalho, tipo, tem um user logado nela quando ela vai entrarna vpn, tudo bem, login e senha ainda vai, porem, e um servidor Imagina uma matriz na bahia e uma filiam no rio grande de sul... jah pensou se toda vez que fosse preciso ligar a vpn entre os dois servers tivesse que digitar um login e uma senha??? Tipo... com certeza vc deve usar ssh correto? entao... vc usa login e senha, porem, vc pode configurar o ssh para trocar certificados :), ae, vc loga por ssh sem digitar nada... eh uma relacao de confianca 2006/11/23, Marcio Antunes <[EMAIL PROTECTED]>: > Mario > > Nao entendi a sua resposta, entãoe estou correto ? é somente > certificado o OpenVPN usa? pq o MPD4 usa senha ou até mesmo servidor > Radius > > Obrigado > > Marcio > > 2006/11/23, m3 BSD <[EMAIL PROTECTED]>: > > certificado e senha se copiados nao garantem seguranca :) > > > > certificados tem que ter permissao de r somente para root > > > > 2006/11/23, Marcio Antunes <[EMAIL PROTECTED]>: > > > Pessoal, > > > > > > É impressão minha que o OpenVPN nao precisa de senha para se > > > autenticar na VPN (site-to-host) ? somente com os certificados resolve > > > ? > > > > > > E ai como fica a segurança se um usuario que nao tiver acesso a VPN > > > copiar os certificados, ele vai ter acesso. > > > > > > Estou enganado ? > > > > > > > > > Obrigado > > > > > > > > > Márcio Antunes > > > - > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > -- > > Atenciosmente > > > > Mario Augusto Mania > > --- > > [EMAIL PROTECTED] > > Cel.: (43) 9938-9629 > > Msn: [EMAIL PROTECTED] > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Atenciosmente Mario Augusto Mania --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN com OpenVPN
Mario Nao entendi a sua resposta, entãoe estou correto ? é somente certificado o OpenVPN usa? pq o MPD4 usa senha ou até mesmo servidor Radius Obrigado Marcio 2006/11/23, m3 BSD <[EMAIL PROTECTED]>: > certificado e senha se copiados nao garantem seguranca :) > > certificados tem que ter permissao de r somente para root > > 2006/11/23, Marcio Antunes <[EMAIL PROTECTED]>: > > Pessoal, > > > > É impressão minha que o OpenVPN nao precisa de senha para se > > autenticar na VPN (site-to-host) ? somente com os certificados resolve > > ? > > > > E ai como fica a segurança se um usuario que nao tiver acesso a VPN > > copiar os certificados, ele vai ter acesso. > > > > Estou enganado ? > > > > > > Obrigado > > > > > > Márcio Antunes > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > -- > Atenciosmente > > Mario Augusto Mania > --- > [EMAIL PROTECTED] > Cel.: (43) 9938-9629 > Msn: [EMAIL PROTECTED] > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN com OpenVPN
certificado e senha se copiados nao garantem seguranca :) certificados tem que ter permissao de r somente para root 2006/11/23, Marcio Antunes <[EMAIL PROTECTED]>: > Pessoal, > > É impressão minha que o OpenVPN nao precisa de senha para se > autenticar na VPN (site-to-host) ? somente com os certificados resolve > ? > > E ai como fica a segurança se um usuario que nao tiver acesso a VPN > copiar os certificados, ele vai ter acesso. > > Estou enganado ? > > > Obrigado > > > Márcio Antunes > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Atenciosmente Mario Augusto Mania --- [EMAIL PROTECTED] Cel.: (43) 9938-9629 Msn: [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] VPN com OpenVPN
Pessoal, É impressão minha que o OpenVPN nao precisa de senha para se autenticar na VPN (site-to-host) ? somente com os certificados resolve ? E ai como fica a segurança se um usuario que nao tiver acesso a VPN copiar os certificados, ele vai ter acesso. Estou enganado ? Obrigado Márcio Antunes - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd