Seguridad de usar un único certificado / clave en una configuración de OpenVPN

3

Tengo curiosidad por saber qué tan segura es una configuración de OpenVPN que usa una única certificación / clave para autenticarse en el servidor, en comparación con una configuración de OpenVPN que utiliza una combinación de cert / key para cada cliente OpenVPN.

La configuración del servidor OpenVPN tiene una sección que dice que no debería hacer esto, pero ¿es OpenVPN una advertencia sobre posibles problemas de seguridad o es la advertencia algo específica de OpenVPN?

La configuración actualmente utiliza una configuración de clave cliente / servidor junto con ta.key.

    
pregunta TearsOnTheMoon 04.12.2014 - 14:36
fuente

2 respuestas

1

No hay forma de saber quién se está conectando a su servidor. No hay atribución asociada. Si alguien inicia sesión y hace algo malo, no tendrá forma de saber quién era, o restringir dónde comenzó la violación de seguridad.

Peor aún, no sabrá si alguien más roba el certificado y accede a su servidor sin su conocimiento. Con la atribución, al menos puede notar: "Bueno, el usuario 2 rara vez inicia sesión en 0200". Luego puede hacer un seguimiento con el usuario y reducir la brecha.

Supongo que la conclusión es: si solo tiene un certificado de autenticación de cliente, ¿por qué tener uno?

    
respondido por el RoraΖ 04.12.2014 - 16:40
fuente
0

Básicamente, está reduciendo su seguridad al nombre de usuario y la contraseña porque su certificado tiene un punto único de falla (si se obtiene, se le puede proporcionar cualquier credencial autorizada). Otra cosa que debe tener en cuenta es el impacto de la revocación de certificados en su organización. Digamos que descubrió que alguien está causando daño a su organización a través de VPN, por lo que decidió revocar directamente el certificado para detenerlo. El problema es que ahora nadie podrá usar la VPN antes de que usted presente un nuevo certificado y lo redistribuya. Lo que es peor, no sabe el punto en el que se filtró su certificado porque no está vinculado a un usuario específico, por lo que incluso si presenta un nuevo certificado, puede obtenerse directamente de la forma en que se obtuvo el antiguo y no tiene forma de cerrar. el hueco. Creo que la mejor solución es usar certificados específicos del usuario y aplicar el enlace de usuario / nombre de usuario cert con el número de conexión concurrente mínimo necesario para operar. La advertencia en OpenVPN se debe únicamente a razones de seguridad, de lo contrario no se le ofrecería esta opción (nadie da el botón "Romper" para sus usuarios). La solución de certificado único puede tener algunos casos de uso en los que desea que los usuarios sean menos seguros pero más privados al proporcionar el anonimato. Otro caso de uso es cuando tienes bot-net y quieres que los zombies se conecten a través de VPN, luego puedes usarlo sin credenciales solo con cert.

    
respondido por el Kamil Kurzynowski 12.06.2017 - 14:57
fuente

Lea otras preguntas en las etiquetas