OpenVPN vs. Código cerrado

Navega tus respuestas
1

Estamos recibiendo un rechazo de un tercero (una compañía mucho más grande) sobre nuestra decisión de utilizar OpenVPN para proteger nuestros recursos de AWS. Específicamente, afirman que el código cerrado es en general más seguro que el código abierto, un reclamo que se resuelve efectivamente here . El consenso aquí y en otra parte parece ser que no hay ninguna ventaja en ninguna opción en general.

Sin embargo, estamos viendo una pieza específica de software aquí, OpenVPN. ¿Hay razones específicas por las que OpenVPN sería considerado menos seguro que las alternativas de servicio VPN comercial?

    
pregunta rambler 31.05.2017 - 18:15
fuente

3 respuestas

4

OpenVPN es una aplicación vpn de código abierto bien usada y de confianza. Al final del día, si su tercero no quiere usarlo y usted no tiene poder contractual para decidir el uso de OpenVPN, no veo qué puede hacer la gente aquí para ayudar. Incluso te vinculas a auditorías recientes tú mismo.

    
respondido por el ISMSDEV 31.05.2017 - 20:08
fuente
2

Aunque solo estoy adivinando aquí, creo que la objeción típica a las soluciones del sistema operativo podría estar relacionada con varios requisitos de auditoría que obligan a la organización a usar solo soluciones mantenidas. Con el código cerrado es un requisito de casilla de verificación directo: consulte un contrato de servicio o una licencia. Con el sistema operativo, debe proporcionar una prueba de que el proyecto está actualizado y se abordan las vulnerabilidades.

Sugiero ofrecer evidencia (búsqueda de CVE, historial de parches, informes independientes vinculados) y preguntar qué objeciones específicas tienen para OpenVPN.

    
respondido por el Kirill Sinitski 31.05.2017 - 21:28
fuente
0

Hay una respuesta bastante simple para esto, la seguridad no debe confiar en que el código fuente está cerrado. Si es un software VPN bueno y seguro, debería soportar una revisión del código fuente. Esta es también una de las razones por las que prefiero OpenVPN sobre otras soluciones VPN de código cerrado, con OpenVPN habrá muchas personas que revisarán el código fuente en busca de errores o vulnerabilidades. Cuando alguien encuentra una falla en el código, se informa y se arregla.

El usuario final también podrá descargar el código fuente de OpenVPN desde la página web de OpenVPN, verificar la descarga al verificar que la firma coincide y compilarse por sí mismo. De esta manera, la comunidad OpenVPN puede garantizar que no hay cambios maliciosos en el software.

Dicho esto, la seguridad aún depende de la configuración del software OpenVPN, el uso de algoritmos seguros, el buen manejo de certificados, etc. Los gobiernos holandeses han modificado OpenVPN para que cumpla con los requisitos para el transporte de datos clasificados. También han lanzado la fuente modificada bajo el nombre OpenVPN-NL.

    
respondido por el BufferOverflow 31.05.2017 - 23:35
fuente

Lea otras preguntas en las etiquetas

Misión imposible como proyecto de aplicación de defensa Almacenar números de tarjetas de crédito para pagos empresariales