OpenVPNサーバーを実行するために、Asus N66UルーターでShibbyのビルドのTomato(64k NVRAMバージョン)を使用しています。
ユーザーがアクセスを許可される前に、証明書とユーザー名/パスワードの両方を要求するようにこのOpenVPNサーバーを設定できるかどうか知りたいです。
証明書の詳細を入力するときに「チャレンジパスワード」のエントリがあることに気づきましたが、「それ以外の場合」は誰もが空白のままにしておくように言われました。なぜなのかわからないし、説明もありません。また、私はGoogle'dこの問題を抱えてきたし、注目人々は、ユーザー名/パスワードを経由して認証するために、OpenVPNのためのPAMモジュールについて話して、それが持って登場のいずれか/またはオプションであることを。つまり、ユーザー名/パスワードまたは証明書を使用して認証を強制できます。両方必要です。
これは可能ですか?もしそうなら、どうですか?
回答:
サーバーがクライアントの証明書と資格情報の両方に基づいてクライアントを認証できるようにするOpenVPN機能はですauth-user-pass-verify。この機能により、サーバーは、リモートユーザーから提供されたユーザー名/パスワードを、認証を実行するスクリプトに渡すことができます。その時点で、PAM、RADIUS、LDAP、煙信号など、必要なものに対して資格情報を検証できます。
「トマト」ファームウェアについては何も知らないので、ここで段階的に説明するつもりはありません。私はいくつかのクイック検索を行いましたが、OpenVPNの「カスタム構成」オプションを使用してauth-user-pass-verify参照を含めることができると思います。認証を実行するにはスクリプトが必要です。
検索してみてください。「トマト」固有の参照が見つかると思います。
チャレンジパスワードは、キーの復号化を可能にするために使用されるパスフレーズです。これが「パスワード」とキーを実際に実行できる唯一の方法です。
実際に確認できるのはパスワードまたはキーのみで、両方では確認できません。両方の方法を有効にしている場合は、最初にキー認証が試行され、失敗した場合はパスワード認証にフォールバックします。
キーにパスフレーズがないと、誰かがたまたまキーを手にした場合に、誰かがあなたのアイデンティティを模倣しやすくなります。
interwebzがキーにパスフレーズを使用すべきではないと言う理由を調べ、それが実際に問題かどうかを確認することをお勧めします。
auth-user-pass-verifyは正しいことです。さらに、認証ユーザーのユーザー名を認証済みのCNにする必要があることを強制できます。また、openvpnが一度に各証明書に対して1つの接続のみを確立するように強制することもできます。
このように、「模倣者」は、証明書のCNと比較して適切なユーザーと適切なパスを持つ必要があり、実際の所有者が一度にログオンする必要があります。
さらに、IDSについて考えることもできます。選択するIDによっては、許可された外部IP範囲、ログオン時間などのようにIDSを絞り込むこともできます。
公開された証明書は直ちに取り消す必要があります。署名サーバーはオフネットである必要があります-USBによる転送キー-あなたは本当にタイトな安全なアクセスを持っています。
証明書にパスワードを設定しないでください。
ただし、本当に必要な場合は、auth-userとcert passwordを同時に使用して、フォールバックなどは発生しません。
最初に、openvpnは証明書のパスワードを使用して秘密鍵を復号化し、接続を確立します。次に、認証ユーザーがサーバーIDで起動します-資格情報が間違っている場合は、アウトです。
ただし、攻撃者が通常の資格情報を取得した場合、あなたはすでに問題を抱えており、可能性が高いので、証明書のパスワードも取得しました。
ですから、ここには実際の利益は多くの欠点とは言えず、セキュリティが向上しているという誤った感覚はありません。
私は次のチュートリアルに従いました(Asus N66UのTomatoUSB Shibby 1.28を使用):http ://www.dd-wrt.com/wiki/index.php/OpenVPN これは非常に 役立ちます。