¿Está OpenVPN sin certificados de cliente encriptados?

Navega tus respuestas
2

Recientemente instalamos un firewall basado en pfSense que generó un instalador OpenVPN que no contiene certificados del lado del cliente. La mayoría de los miembros de nuestro equipo han utilizado OpenVPN de una forma u otra en los últimos 10 años y siempre han tenido certificados del lado del cliente como parte de la instalación. Como resultado, se produjo un debate que cuestiona si el túnel está encriptado si no hay certificados del lado del cliente. Después de bastante búsqueda no podemos llegar a una conclusión definitiva.

Reconocemos el valor de los certificados del lado del cliente, pero solo para fines de conocimiento con autenticación basada en contraseña y cuenta y sin certificados de cliente, ¿OpenVPN es un túnel sin cifrar?

Usamos Wireshark y generamos un poco de tráfico UDP simple con netcat y parecía encriptado, pero para los que no dicen esto no era suficiente evidencia. Los documentos no indican claramente que el túnel esté siempre encriptado, aunque sí discuten no usar certificados del lado del cliente e incluso mencionan que desde el intercambio seguro de datos de cuentas y contraseñas 2.0 está disponible sin certificados del lado del cliente.

¿Existe documentación que respalde una conclusión?

    
pregunta jriffel73 26.10.2016 - 04:37
fuente

2 respuestas

0

Hay una extensión x509 llamada Extensión de uso de clave , que está marcada como una extensión crítica. Estas extensiones especifican el alcance del uso de la clave asociada con el certificado. 

Few common one are :

Digital signature
Key encipherment

Ninguna extensión especifica que este certificado en particular es para el cifrado, por lo que puede concluir desde aquí solo, al proporcionar al cliente un certificado adicional solo proporcionará un tipo de autenticación de entidad (el dispositivo en el cual está instalado el certificado del cliente es válido para proceder a la aplicación autenticación de nivel)

Después de esta autenticación ssl, no hay diferencia entre su configuración actual y la configuración con certificados de cliente, la comunicación será igual de sólida, ya que la clave con la misma fuerza se derivará después de que se realice el protocolo de enlace ssl en ambos casos

    
respondido por el 8zero2.ops 26.10.2016 - 10:09
fuente
0

Los certificados de cliente no se utilizan para el cifrado en OpenVPN. Estos son "solo" utilizados para la autenticación del cliente, es decir, solo los clientes que proporcionan un certificado de confianza pueden usar la VPN.

    
respondido por el Steffen Ullrich 26.10.2016 - 05:37
fuente

Lea otras preguntas en las etiquetas

Verificación de la firma pública de la clave ASN1 Directorio activo, límite de permisos en ldap, solo permiso para leer el perfil propio