OpenVPN - Somente autenticação de senha

11

Ao usar o OpenVPN Client para Windows, posso efetuar login no servidor OpenVPN com apenas um nome de usuário e senha. Não consigo descobrir como fazer a mesma coisa acontecer no Ubuntu. Parece que é necessário algum tipo de certificado.

Alguma idéia de como se autenticar com um servidor OpenVPN com apenas um nome de usuário e senha?

kbuilds
fonte

Respostas:

5

Você pode se autenticar usando um nome de usuário / senha perfeitamente sem um certificado de servidor / CA. No entanto, eu recomendo configurá-lo para verificá-lo com o seu certificado de CA para evitar ataques do tipo Man-in-the-Middle.

Sem qualquer verificação de servidor, qualquer pessoa pode se passar por seu servidor OpenVPN e apenas aceitar seu nome de usuário / senha. Resultados:

  • O invasor pode interceptar todo o tráfego. Como você não verifica o servidor ao qual está se conectando, qualquer pessoa pode reivindicar ser seu servidor em uma rede pública (ou rede privada controlada pelo invasor).
  • O invasor conhece sua combinação de nome de usuário / senha. Muito ruim caso você reutilize a mesma senha para outras coisas também.

No Network Manager, ele funciona bem sem o CA Cert, como mostrado abaixo, mas não o use assim! Se você não usar nenhum certificado de servidor / autoridade de certificação no Windows, estará realmente vulnerável aos ataques acima.

insira a descrição da imagem aqui

gertvdijk
fonte
Não funciona no Ubuntu 16.04. O botão 'Salvar' fica desabilitado até você selecionar um certificado
leo
1
@leo Oh, é uma notícia muito boa. Impede mais um caso de configurações inseguras! :-)
gertvdijk
3

Encontrei resposta aqui: http://openvpn.net/index.php/open-source/documentation/howto.html#auth

Lembre-se, você ainda precisa ter certificado de servidor

Usando autenticação de nome de usuário / senha como a única forma de autenticação de cliente

Por padrão, o uso de auth-user-pass-verifica ou um plug-in de verificação de nome de usuário / senha no servidor habilitará a autenticação dupla, exigindo que o certificado de cliente e a autenticação de nome de usuário / senha sejam bem-sucedidos para que o cliente seja autenticado.

Embora seja desencorajado do ponto de vista da segurança, também é possível desativar o uso de certificados de cliente e forçar apenas a autenticação de nome de usuário / senha. No servidor:

client-cert-not-required Essas configurações geralmente também devem definir:

username-as-common-name, que informará o servidor para usar o nome de usuário para fins de indexação, pois usaria o Nome Comum de um cliente que estava sendo autenticado por um certificado de cliente.

Observe que client-cert-not-required não eliminará a necessidade de um certificado de servidor; portanto, um cliente que se conecta a um servidor que usa client-cert-not-required pode remover as diretivas cert e key do arquivo de configuração do cliente, mas não a diretiva ca, porque é necessário que o cliente verifique o certificado do servidor.

ruX
fonte