El cliente OpenVPN todavía puede conectarse al servidor después de que la clave tls-auth del cliente haya cambiado

2

Actualmente me estoy familiarizando con OpenVPN al construir y probar algunas infraestructuras cliente-servidor utilizando la estación de trabajo VMware.

Esto es lo que noté recientemente: si cambia manualmente algunos valores en la clave ta. del cliente, aún podrá conectarse al servidor, no aparecerán errores ni advertencias en el registro durante el proceso de conexión.

Ejemplo: Mi clave actual, que es la misma en el lado del cliente y del servidor, se ve así:

  

----- COMIENZO OpenVPN tecla estática V1 ----- 135e25bb334841d0144bc9cada39d8f4 dc4185d5d78289e6b449d2616d808baa 149a110f3985d5b5698d0766f0e91826
  96fd9f886210f30cd4198713f7e5268d 02d5b88276e36c0152a1e117e02b02f5
  3918ddfaead2efa1760224024f9426dc 02e4f660da96c22fa9256374b72d5e95
  f0f154fb5acb65af4934e17a31d0bab3 1c96053d7c9ffac4e91da542bdff3bdc
  146b3dc28f484609d8d2b95e6b7b9ecb 0919f3a7bd1275810da8851b8699ab2c
  3d4f03e54ad77ec4a8b76cebfeac98d1 4c81af32861be3c396469710c0cfe4ea
  4b8285dd5dd925d2c4a9ba976ea137da cdaf8af33d0a69a341df41d1873f8e0f
  f30627ac336f6dd4dfe607efdf135740
  ----- FINAL OpenVPN tecla estática V1 -----

Ahora, en el lado del cliente, le hago algunos cambios, por ejemplo, establezca los valores de los 4 primeros y últimos en 0, para que se vea así:

  

----- COMIENZO OpenVPN tecla estática V1 ----- 000025bb334841d0144bc9cada39d8f4 dc4185d5d78289e6b449d2616d808baa 149a110f3985d5b5698d0766f0e91826
  96fd9f886210f30cd4198713f7e5268d 02d5b88276e36c0152a1e117e02b02f5
  3918ddfaead2efa1760224024f9426dc 02e4f660da96c22fa9256374b72d5e95
  f0f154fb5acb65af4934e17a31d0bab3 1c96053d7c9ffac4e91da542bdff3bdc
  146b3dc28f484609d8d2b95e6b7b9ecb 0919f3a7bd1275810da8851b8699ab2c
  3d4f03e54ad77ec4a8b76cebfeac98d1 4c81af32861be3c396469710c0cfe4ea
  4b8285dd5dd925d2c4a9ba976ea137da cdaf8af33d0a69a341df41d1873f8e00
  f30627ac336f6dd4dfe607efdf130000
  ----- FINAL OpenVPN tecla estática V1 -----

Y, sorprendentemente, todavía puedo conectarme al servidor. Solo si genero una clave completamente nueva con El comando openvpn --genkey --secret ta2.key y lo usa en lugar del antiguo, solo así obtendré un error al intentar conectarme al servidor:

  

Viernes, 7 de septiembre 11:33:04 2018 us = 232609 Error TLS: paquete entrante   la autenticación falló desde [AF_INET] 192.168.1.2:33596

     

Viernes, 7 de septiembre 11:33:12 2018 us = 212985 Error de autenticación / descifrado de paquete:   la autenticación del paquete HMAC falló

Entonces, ¿cómo es esto posible? Pensé que cambiar un solo bit en la clave debería llevar a un error de autenticación, pero no lo hace. ¿Alguna idea?

-

Versión de OpenVPN, si es necesario:

OpenVPN 2.4.0 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH / PKTINFO] [AEAD] construido el 18 de Julio de 2017

    
pregunta ImJustCurious 07.09.2018 - 10:53
fuente

1 respuesta

2

enlace

En resumen, la clave es demasiado grande. No todas las partes del archivo se utilizan realmente en las implementaciones actuales.

    
respondido por el vidarlo 07.09.2018 - 12:59
fuente

Lea otras preguntas en las etiquetas