Khả thi? Máy chủ OpenVPN yêu cầu cả đăng nhập dựa trên chứng chỉ và mật khẩu (thông qua phần mềm bộ định tuyến Tomato)

Tôi đã sử dụng bản dựng Tomato của Shibby (phiên bản 64k NVRAM) trên bộ định tuyến Asus N66U của tôi để chạy máy chủ OpenVPN.

Tôi tò mò liệu có thể thiết lập máy chủ OpenVPN này để yêu cầu cả chứng chỉ VÀ tên người dùng / mật khẩu trước khi người dùng được phép truy cập hay không.

Tôi nhận thấy có một mục nhập "mật khẩu thử thách" khi điền các chi tiết chứng chỉ, nhưng mọi người đều nói để trống "nếu không"; Tôi không biết tại sao, và tôi không thể tìm thấy một lời giải thích. Ngoài ra, tôi đã gặp vấn đề này với Google và đã nhận thấy mọi người nói về mô-đun PAM cho OpenVPN để xác thực qua tên người dùng / mật khẩu, nhưng dường như đó là một hoặc / hoặc tùy chọn; nói cách khác, tôi có thể buộc xác thực thông qua tên người dùng / mật khẩu HOẶC chứng chỉ. Tôi muốn yêu cầu cả hai.

Điều này có thể không? Nếu vậy thì thế nào?

Tính năng OpenVPN mà bạn đang tìm kiếm, cho phép máy chủ xác thực ứng dụng khách dựa trên cả chứng chỉ và chứng chỉ của họ auth-user-pass-verify. Tính năng này cho phép máy chủ chuyển tên người dùng / mật khẩu do người dùng từ xa cung cấp cho tập lệnh thực hiện xác thực. Tại thời điểm đó, bạn có thể xác thực thông tin đăng nhập dựa trên bất kỳ thứ gì bạn muốn-- PAM, RADIUS, LDAP, tín hiệu khói, v.v.

Tôi không biết gì về phần mềm "Cà chua" vì vậy tôi thậm chí sẽ không cố gắng cung cấp cho bạn từng bước ở đây. Tôi đã thực hiện một số tìm kiếm nhanh và tôi nghi ngờ bạn có thể sử dụng tùy chọn "Cấu hình tùy chỉnh" OpenVPN để bao gồm một auth-user-pass-verifytham chiếu. Bạn sẽ cần một tập lệnh để thực hiện xác thực.

Thực hiện một số tìm kiếm và tôi nghi ngờ bạn sẽ tìm thấy tài liệu tham khảo cụ thể "Cà chua".

Mật khẩu thử thách là cụm mật khẩu được sử dụng để cho phép giải mã khóa. Đó là cách duy nhất bạn thực sự có thể làm "mật khẩu" và chìa khóa.

Bạn thực sự chỉ có thể xác minh bằng mật khẩu hoặc khóa chứ không phải cả hai. Nếu bạn đã bật cả hai phương thức, nó sẽ thử xác thực khóa trước và nếu thất bại, nó sẽ quay lại xác thực mật khẩu.

Không có cụm mật khẩu trên khóa giúp người khác dễ dàng bắt chước danh tính của bạn nếu họ tình cờ nhận được khóa.

Tôi khuyên bạn nên tìm hiểu lý do tại sao các interwebz nói rằng bạn không nên sử dụng cụm mật khẩu trên các phím và xem nó có thực sự là một vấn đề không.

auth-user-pass-verify là điều nên làm. Ngoài ra, bạn có thể buộc tên người dùng auth-user phải là CN được chứng nhận, bạn cũng có thể buộc openvpn chỉ thực hiện một kết nối mỗi chứng chỉ tại một thời điểm.

Theo cách đó, một "bắt chước" phải có đúng người dùng so với chứng chỉ CN và thẻ đúng và anh ta phải đăng nhập vào thời điểm chủ sở hữu thực sự làm việc

Ngoài ra, bạn có thể nghĩ về một IDS, tùy thuộc vào cái nào bạn chọn, bạn thậm chí có thể thu hẹp nó xuống dưới đó như phạm vi ip bên ngoài được phép, thời gian đăng nhập, v.v.

Bất kỳ chứng chỉ tiếp xúc nên được thu hồi ngay lập tức. Máy chủ ký nên tắt mạng - chuyển khóa bằng usb - sau đó bạn có quyền truy cập an toàn chặt chẽ thực sự.

và không bạn không nên mật khẩu một chứng chỉ.

1. Dễ tàn bạo.
2. Bạn không thể khóa người dùng (cert pass chỉ ngoại tuyến).
3. Mọi người lúc nào cũng mất mật khẩu buộc bạn phải thu hồi và tạo lại chứng chỉ mọi lúc - nguy cơ lớn có rất nhiều certs ngoài kia, nơi đôi khi bạn có thể quên việc thu hồi.

Nhưng nếu bạn thực sự muốn, bạn có thể sử dụng auth-user và cert password cùng lúc, sẽ không có dự phòng hay thứ gì đó.

Đầu tiên openvpn sẽ sử dụng mật khẩu cert để giải mã khóa riêng để thiết lập kết nối - sau đó người dùng auth đá vào máy chủ - nếu thông tin đăng nhập bị sai.

Tuy nhiên, nếu kẻ tấn công có được thông tin đăng nhập thường xuyên, bạn đã gặp rắc rối và rất có thể anh ta cũng có mật khẩu chứng chỉ.

Vì vậy, tôi không thấy lợi ích thực sự ở đây chỉ là nhiều nhược điểm và cảm giác sai lầm về bảo mật hơn.

Tôi đã làm theo hướng dẫn này (với TomatoUSB Shibby 1.28 trên Asus N66U của tôi): http://www.dd-wrt.com/wiki/index.php/OpenVPN Điều này có thể giúp bạn rất nhiều.