Saya telah menggunakan Shibby build of Tomato (versi NVRAM 64k) pada router Asus N66U saya untuk menjalankan server OpenVPN.
Saya ingin tahu apakah mungkin untuk menyiapkan server OpenVPN ini untuk memerlukan sertifikat DAN nama pengguna / kata sandi sebelum pengguna diizinkan mengakses.
Saya perhatikan ada entri "kata sandi tantangan" ketika mengisi rincian sertifikat, tetapi semua orang mengatakan untuk membiarkannya kosong "atau yang lain"; Saya tidak tahu mengapa, dan saya tidak dapat menemukan penjelasan. Selain itu, saya sudah banyak membahas masalah ini di Google dan telah memperhatikan orang-orang berbicara tentang modul PAM untuk OpenVPN untuk mengautentikasi melalui nama pengguna / kata sandi, tetapi itu tampaknya merupakan opsi salah satu atau /; dengan kata lain, saya dapat memaksa otentikasi melalui nama pengguna / kata sandi ATAU sertifikat. Saya ingin meminta keduanya.
Apakah ini mungkin? Jika ya, bagaimana caranya?
auth-user-pass-memverifikasi adalah hal yang benar untuk dilakukan. Selain itu Anda dapat memaksa pengguna auth-user harus menjadi CN bersertifikat. Anda juga dapat memaksa openvpn untuk membuat hanya satu koneksi setiap sertifikat pada satu waktu.
Dengan cara itu "mimic" harus memiliki pengguna yang tepat dibandingkan dengan certc CN dan pass yang tepat dan dia harus masuk pada saat pemilik sebenarnya melakukan
Selain itu Anda mungkin berpikir tentang IDS, tergantung mana yang Anda pilih, Anda bahkan dapat mempersempitnya di sana seperti rentang ip eksternal yang diizinkan, waktu masuk dan sebagainya.
Sertifikat yang terbuka harus segera dicabut. Server penandatanganan harus tidak aktif - kunci transfer oleh usb - maka Anda memiliki akses aman yang sangat ketat.
dan tidak, Anda seharusnya tidak membuat kata sandi sertifikat.
Tetapi jika Anda benar-benar mau, Anda dapat menggunakan auth-user dan kata sandi cert pada saat yang sama tidak akan ada fallback atau sesuatu.
Openvpn pertama akan menggunakan kata sandi cert untuk mendekripsi kunci privat untuk membuat koneksi - kemudian auth-pengguna menendang serveridly - jika kredensial salah Anda keluar.
Namun, jika seorang penyerang mendapatkan kredensial reguler, Anda sudah dalam kesulitan dan kemungkinan besar ia juga mendapatkan kata sandi sertifikat.
Jadi saya tidak melihat manfaat nyata di sini hanya banyak kerugian dan perasaan lebih aman yang salah.
sumber
Saya mengikuti tutorial ini (dengan TomatoUSB Shibby 1.28 pada Asus N66U saya): http://www.dd-wrt.com/wiki/index.php/OpenVPN Ini mungkin banyak membantu Anda.
sumber