OpenVPN - Chỉ xác thực mật khẩu

11

Khi sử dụng OpenVPN Client cho Windows, tôi có thể đăng nhập vào máy chủ OpenVPN chỉ bằng tên người dùng và mật khẩu. Tôi không thể tìm ra cách làm điều tương tự xảy ra trong Ubuntu. Có vẻ như một số loại chứng chỉ được yêu cầu.

Bạn có biết cách xác thực với máy chủ OpenVPN chỉ với tên người dùng và mật khẩu không?

password  authentication  openvpn 
kbuild
nguồn

Câu trả lời:

5

Bạn có thể xác thực bằng tên người dùng / mật khẩu hoàn toàn tốt mà không cần chứng chỉ máy chủ / CA. Tuy nhiên, tôi đặc biệt khuyên bạn nên định cấu hình nó để xác minh bằng chứng chỉ CA của bạn để ngăn chặn các cuộc tấn công Man-in-the-Middle.

Nếu không có bất kỳ xác minh máy chủ nào, bất kỳ ai cũng có thể mạo danh máy chủ OpenVPN của bạn và chỉ chấp nhận tên người dùng / mật khẩu của bạn. Các kết quả:

  • Kẻ tấn công có thể chặn tất cả giao thông. Khi bạn không xác minh máy chủ mà bạn đang kết nối, bất kỳ ai cũng có thể tự nhận là máy chủ của bạn trong mạng công cộng (hoặc mạng riêng do kẻ tấn công kiểm soát).
  • Kẻ tấn công biết kết hợp tên người dùng / mật khẩu của bạn. Rất rất xấu trong trường hợp bạn sử dụng lại cùng một mật khẩu cho những thứ khác.

Trong Trình quản lý mạng, nó hoạt động tốt mà không cần CA Chứng nhận như bên dưới, nhưng vui lòng không sử dụng nó như thế! Nếu bạn không sử dụng bất kỳ chứng chỉ máy chủ / CA nào trên Windows, bạn thực sự dễ bị tấn công.

nhập mô tả hình ảnh ở đây

gertvdijk
nguồn
Nó không hoạt động trên Ubuntu 16.04. Nút 'Lưu' bị vô hiệu hóa cho đến khi bạn chọn chứng chỉ
leo
1
@leo Ồ, đó là tin rất tốt. Nó ngăn chặn thêm một trường hợp cấu hình không an toàn sau đó! :-)
gertvdijk
3

Tôi đã tìm thấy câu trả lời ở đây: http://openvpn.net/index.php/open-source/documentation/howto.html#auth

Hãy nhớ rằng, bạn vẫn cần phải có chứng chỉ máy chủ

Sử dụng xác thực tên người dùng / mật khẩu làm hình thức xác thực ứng dụng khách duy nhất

Theo mặc định, sử dụng auth-user-pass-verify hoặc plugin kiểm tra tên người dùng / mật khẩu trên máy chủ sẽ cho phép xác thực kép, yêu cầu cả chứng thực ứng dụng khách và xác thực tên người dùng / mật khẩu thành công để máy khách được xác thực.

Mặc dù không được khuyến khích từ góc độ bảo mật, nhưng cũng có thể vô hiệu hóa việc sử dụng chứng chỉ ứng dụng khách và chỉ buộc xác thực tên người dùng / mật khẩu. Trên máy chủ:

client-cert-not-required Các cấu hình như vậy thường cũng nên được đặt:

Tên người dùng như tên chung sẽ cho máy chủ sử dụng tên người dùng cho mục đích lập chỉ mục vì nó sẽ sử dụng Tên chung của khách hàng được xác thực thông qua chứng chỉ ứng dụng khách.

Lưu ý rằng máy khách không yêu cầu chứng chỉ sẽ không làm giảm nhu cầu chứng chỉ máy chủ, do đó, máy khách kết nối với máy chủ sử dụng chứng chỉ máy khách không yêu cầu có thể xóa chỉ thị chứng chỉ và khóa khỏi tệp cấu hình máy khách, nhưng không Chỉ thị ca, bởi vì nó là cần thiết cho khách hàng để xác minh chứng chỉ máy chủ.

ruX
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.