Evita o IP Spoofing no OpenVPN tun

Question

Evita o IP Spoofing no OpenVPN tun

#1 resposta do (1 votos)

1

Eu tenho uma pergunta sobre IP Spoofing e autenticação. Eu tenho um servidor OpenVPN no modo TUN com muitos clientes não confiáveis na mesma rede VPN, e eu queria saber se um cliente é capaz de falsificar seu endereço IP da VPN para que ele possa aparecer para o servidor como outro cliente. Existe alguma maneira de evitar isso?

Eu estava pensando, talvez, se: 1) Eu atribuo endereços IP estáticos aos clientes 2) Salve o endereço IP de mapeamento - certificado TLS para cada cliente 3) Eu posso verificar para cada pacote de entrada para o servidor, o endereço IP de origem e a impressão digital (ou nome comum) da conexão TLS que enviou esse pacote e ver se eles correspondem.

É possível e, se sim, como?

Eu estava lendo isso com o tls-verify, posso verificar que o cliente com certificado A pertence a 10.8.0.4 por exemplo quando o cliente se conecta ao servidor OpenVPN, mas tenho certeza de que todos os pacotes com endereço IP de origem são 10.8 .0.4 pertencem ao cliente com o certificado A? Basicamente, quero identificar clientes com base no endereço IP deles. Existe algum script para verificar isso?

Muito obrigado pela sua atenção. Espero ter sido claro o suficiente.

authentication openvpn ip tun spoofing

por poli mi 03.08.2015 / 13:19

1 resposta

Tags authentication openvpn ip tun spoofing

Por que minhas verificações passivas não são processadas? check_mk: nome global 'entry' não está definido

score 1 · Accepted Answer

Para especificar o IP por cliente: Você tem um procedimento específico "dir de configuração do cliente" para vincular uma chave a um número IP específico. Se você criar um subdir "ccd" do diretório de configuração openvpn, você pode especificar que os arquivos de mapeamento de chave / ip serão encontrados lá. No seu openvpn.conf (ou .ovpn no windows):

client-config-dir ccd
ccd-exclusive

Se você tiver um cliente com uma chave com o nome "someclient", poderá criar o arquivo ccd / someclient, com o conteúdo:

ifconfig-push 192.168.11.57 192.168.11.58

... o que forçaria o cliente a usar um túnel entre 192.168.11.57 e 192.168.11.58 (.57 sendo o IP do cliente). Crie um novo arquivo para cada cliente, com mapeamentos de início / fim válidos (consulte os documentos openvpn para pares de IP válidos).

Com esta configuração, nenhum cliente será aceito a menos que tenha um arquivo CCD, mesmo que tenha uma chave válida. E cada cliente terá um IP explícito atribuído a eles. Para bloquear um cliente, basta excluir o arquivo CCD apropriado.

Eu não testei se é possível para o cliente de alguma forma falsificar IP do remetente, embora eu acho que seria complicado devido à natureza do túnel da conexão (o ponto de extremidade do lado do servidor não coincidiria). Esta é apenas uma suposição embora.