OpenVPN - somente autenticação de senha

6

Ao usar o cliente OpenVPN para Windows, posso fazer login no servidor OpenVPN com apenas um nome de usuário e senha. Eu não consigo descobrir como fazer a mesma coisa acontecer no Ubuntu. Parece que algum tipo de certificado é necessário.

Alguma ideia de como se autentica com um servidor OpenVPN com apenas um nome de usuário e senha?

    
por kbuilds 09.07.2013 / 20:02

2 respostas

4

Você pode autenticar usando um nome de usuário / senha perfeitamente bem sem um certificado de servidor / CA. No entanto, recomendo que você configure-o para verificar com seu certificado de autoridade de certificação para evitar ataques do tipo "man-in-the-middle".

Sem qualquer verificação de servidor, qualquer pessoa pode se passar por seu servidor OpenVPN e apenas aceitar seu nome de usuário / senha. Resultados:

  • O invasor pode interceptar todo o tráfego. Como você não verifica o servidor ao qual está se conectando, qualquer um pode reivindicar ser seu servidor em uma rede pública (ou rede privada controlada pelo invasor).
  • O invasor sabe sua combinação de nome de usuário / senha. Muito muito ruim no caso de você reutilizar a mesma senha para outras coisas também.

No Network Manager, ele funciona bem sem o CA Cert, como mostrado abaixo, mas não o use assim! Se você não usar nenhum certificado de CA / servidor no Windows, estará realmente vulnerável aos ataques acima.

    
por gertvdijk 20.08.2013 / 14:08
1

Encontrei resposta aqui: link

Lembre-se de que você ainda precisa ter um certificado de servidor

  

Usando autenticação de nome de usuário / senha como a única forma de cliente   autenticação

     

Por padrão, usando auth-user-pass-verify ou um   Plugin de nome de usuário / senha no servidor habilitará dual   autenticação, exigindo que tanto o certificado do cliente   autenticação de nome de usuário / senha é bem-sucedida para que o cliente seja   autenticado.

     

Embora seja desencorajado de uma perspectiva de segurança, também é   possível desativar o uso de certificados de clientes e forçar   autenticação de nome de usuário / senha somente. No servidor:

     

client-cert-not-required Geralmente, essas configurações também devem ser definidas:

     

nome de usuário como nome comum que dirá ao servidor para usar o nome de usuário   para fins de indexação, pois usaria o nome comum de um cliente   que estava se autenticando por meio de um certificado de cliente.

     

Observe que o client-cert-not-required não elimina a necessidade de um   certificado do servidor, para que um cliente se conecte a um servidor que usa   client-cert-not-required pode remover as diretrizes cert e key de   o arquivo de configuração do cliente, mas não a diretiva ca, porque é   necessário para o cliente verificar o certificado do servidor.

    
por ruX 20.08.2013 / 14:00