[opensuse-es] Seguridad en openvpn
Hola a todos. Recientemente instalé openvpn en un Suse 9.1 y aparentemente funciona bien. Como soy bastante paranoico con el tema de la seguridad me asaltan dos dudas: - ¿Creéis que la parte del servidor es suficientemente segura? (debajo os pongo como hice la configuración) - La parte cliente (Windows en este caso) es la que más miedo me da ya que si alguien accede al equipo entiendo que con llevarse los ficheros ya podría tener acceso a toda la red del servidor Linux. ¿Estoy en lo cierto? ¿Conocéis o se os ocurre alguna forma de proteger más la parte cliente win? Configuración Openvpn: 1. Creo el ca: sh build-ca 2. Genero del certificado y de la clave de encriptación para el servidor: sh build-key-server server 3. Generando los certificados y claves privadas para los clientes: sh build-key cliente1 4. Diffie-Hellman: sh build-dh 5. El archivo del servidor /etc/openvpn/server.conf : port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh2048.pem server X.X.X.X 255.255.255.0 ifconfig-pool-persist ipp.txt push "route X.X.X.X 255.255.255.0" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun status openvpn-status.log verb 4 6. El archivo del cliente: client dev tun proto udp remote X.X.X.X 1194 resolv-retry infinite nobind persist-key persist-tun ca ca.crt cert cliente1.crt key cliente1.key comp-lzo verb 4 ns-cert-type server Perdonad por el tocho Gracias Saludos Ignacio --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola a todos. Recientemente instalé openvpn en un Suse 9.1 y aparentemente funciona bien. Como soy bastante paranoico con el tema de la seguridad me asaltan dos dudas:
Si estás tan paranoico con la seguridad, tener un servidor con suse 9.1, que ya no es mantenida (desde hace más de un año) no es definitivamente una buena idea. Seguramente tendrás bugs explotables. Del resto, pues ni idea, sorry. -- Saludos, miguel Los agujeros negros son lugares donde dios dividió por cero. Black holes are places where god divided by zero. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-09-26 a las 09:47 +0200, Ignacio escribió:
Hola a todos. Recientemente instalé openvpn en un Suse 9.1 y aparentemente funciona bien. Como soy bastante paranoico con el tema de la seguridad me asaltan dos dudas:
Imposible. No me creo que seas paranóico con la seguridad, porque yo a partir de aquí ya no sigo leyendo: la 9.1 no tiene mantenimiento de seguridad, es obsoleta. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFG+jDYtTMYHG2NR9URAl4bAJ9Nn9DGnwcj8KWWamlN4ivWko0VxgCdFfEe 81/MShFy94DH1JLwPmle90o= =FOJN -----END PGP SIGNATURE-----
Perdón, pero se me olvidó comentaros que estoy en período de pruebas. La instalación definitiva la realizaré sobre SLES 10 Saludos Ignacio ----- Original Message ----- From: "Carlos E. R." <robin.listas@telefonica.net> To: "OS-es" <opensuse-es@opensuse.org> Sent: Wednesday, September 26, 2007 12:13 PM Subject: Re: [opensuse-es] Seguridad en openvpn
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2007-09-26 a las 09:47 +0200, Ignacio escribió:
Hola a todos. Recientemente instalé openvpn en un Suse 9.1 y aparentemente funciona bien. Como soy bastante paranoico con el tema de la seguridad me asaltan dos dudas:
Imposible. No me creo que seas paranóico con la seguridad, porque yo a partir de aquí ya no sigo leyendo: la 9.1 no tiene mantenimiento de seguridad, es obsoleta.
- -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFG+jDYtTMYHG2NR9URAl4bAJ9Nn9DGnwcj8KWWamlN4ivWko0VxgCdFfEe 81/MShFy94DH1JLwPmle90o= =FOJN -----END PGP SIGNATURE-----
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
openvpn tiene la opcion de usar aparte de los certificados, login y password para autenticar a los usuarios, cual permite autenticarlos contra un LDAP, un AD o passwd/shadow/group, o lo que se desee. Lo malo es que el login/password se almacena en texto claro en un archivo de texto dentro del directorio de trabajo de openvpn mientras se procesa (en el servidor), lo cual puede constituir un problema de seguridad si alguien tiene acceso al servidor. Esto se contrarresta con permisos restringidos sobre el directorio de trabajo de openvpn y un buen script o programa que haga la validacion de la entrada del usuario. La segunda opcion, es que los usuarios le asignen clave a los certificados de la VPN. Si no me equivoco, OpenVPN GUI permite hacer eso de manera sencilla, de tal forma que si copian los archivos les pedira esa clave. Nunca he evaluado esta opcion ya que me parece muy pobre y dependiente de factores externos. En otras palabras depende de los usuarios, en los cuales por principio basico no se debe confiar, aparte de ser muy olvidadizos con sus claves :) Hasta la proxima Carlos. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Gracias Carlos. Estuve probando con éxito la autentificación vía pam No veo en el directorio de trabajo ningún fichero donde aparezca el passord (si el login). Supongo que te refieres a un fichero temporal mientras el cliente hace la conexión. Los permisos que tengo son para el directorio: drwxr-xr-x 4 root root 368 Sep 26 19:44 openvpn/ Y para los ficheros: drwxr-xr-x 3 root root 344 Sep 26 19:52 ./ drwxr-xr-x 71 root root 6944 Sep 26 19:37 ../ -rw-r--r-- 1 root root 1736 Sep 25 13:41 ca.crt -rw------- 1 root root 1679 Sep 25 13:41 ca.key -rw-r--r-- 1 root root 424 Sep 25 13:48 dh2048.pem drwxrwxrwx 5 root root 672 Sep 25 13:41 easy-rsa/ -rw------- 1 root root 127 Sep 26 19:45 ipp.txt -rw------- 1 root root 232 Sep 26 19:51 openvpn-status.log -rw------- 1 root root 57901 Sep 26 19:52 openvpn.log -rw------- 1 ftp ftp 700 Sep 26 19:32 server.conf -rw-r--r-- 1 root root 5261 Sep 25 13:42 server.crt -rw------- 1 root root 1675 Sep 25 13:42 server.key Supongo que estará correcto, pero se admiten sugerencias En cuanto al password desde el cliente gui de windows yo tampoco me fio mucho, pero puede ser una cosa más para añadir como seguridad. Un saludo Ignacio ----- Original Message ----- From: "Carlos Martinez" <camarti@gmail.com> To: <opensuse-es@opensuse.org> Sent: Wednesday, September 26, 2007 7:23 PM Subject: Re: [opensuse-es] Seguridad en openvpn
openvpn tiene la opcion de usar aparte de los certificados, login y password para autenticar a los usuarios, cual permite autenticarlos contra un LDAP, un AD o passwd/shadow/group, o lo que se desee.
Lo malo es que el login/password se almacena en texto claro en un archivo de texto dentro del directorio de trabajo de openvpn mientras se procesa (en el servidor), lo cual puede constituir un problema de seguridad si alguien tiene acceso al servidor. Esto se contrarresta con permisos restringidos sobre el directorio de trabajo de openvpn y un buen script o programa que haga la validacion de la entrada del usuario.
La segunda opcion, es que los usuarios le asignen clave a los certificados de la VPN. Si no me equivoco, OpenVPN GUI permite hacer eso de manera sencilla, de tal forma que si copian los archivos les pedira esa clave. Nunca he evaluado esta opcion ya que me parece muy pobre y dependiente de factores externos. En otras palabras depende de los usuarios, en los cuales por principio basico no se debe confiar, aparte de ser muy olvidadizos con sus claves :)
Hasta la proxima Carlos. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (5)
-
Carlos E. R. -
Carlos Martinez -
Ignacio -
Ignacio Argüelles -
miguel gmail