openvpn: auth-user-pass ou (e?) passphrase?

2

Estou configurando o OpenVPN no PfSense 2.0 e agora gostaria de saber se devo usar a opção "auth-user-pass", definir uma senha nas teclas openssl ou ambas.

Ambos requerem uma senha extra ao lado do certificado válido, mas não sei se um método é mais seguro que o outro.

Parece que somente o método "auth-user-pass" é diretamente suportado na interface web do PfSense, de modo que o uso de uma frase significaria uma etapa extra (adicionando a frase secreta com o comando openssl) para cada certificado.

    
por rmweiss 18.12.2011 / 11:06

1 resposta

1

As duas senhas diferentes, embora semelhantes no que o usuário vê, são completamente diferentes no que protegem.

A senha da chave privada é a chave de descriptografia da chave privada do usuário, introduzindo segurança para situações de dados em repouso. Ele pode ser alterado e removido pelo usuário a seu gosto, desde que esteja familiarizado com o certificado x.509 e o manuseio de chaves privadas. Deve-se notar que, no melhor de todos os mundos, você, como operador de gateway da VPN, não teria nenhum conhecimento das chaves privadas do usuário e suas senhas, pois elas seriam geradas e mantidas pelos próprios usuários.

A diretiva auth-user-pass está consultando uma combinação de nome de usuário / senha para o acesso do OpenVPN. É comparável ao que o XAuth faz para o IPSec - usando-o O OpenVPN pode ser integrado a serviços de autenticação externos como RADIUS, LDAP ou PAM. Isso pode ser usado para mitigar incidentes de "chave privada roubada", mas é mais provável que esteja acabando como o único método de autenticação na maioria das instalações para que o OpenVPN possa ser executado sem certificados de cliente (com o client-cert opção não-obrigatória) e fornecer algumas funcionalidades de logon único para os guerreiros de estrada de discagem VPN.

Se uma das opções é "melhor" do que a outra depende muito do que você está realmente fazendo e do que deseja realizar.

    
por 19.12.2011 / 00:03