OpenVPN - Hanya Otentikasi Kata Sandi

11

Saat menggunakan OpenVPN Client untuk Windows, saya dapat masuk ke server OpenVPN hanya dengan nama pengguna dan kata sandi. Saya tidak tahu bagaimana cara membuat hal yang sama terjadi di Ubuntu. Tampaknya semacam sertifikat diperlukan.

Adakah yang tahu bagaimana mengotentikasi dengan server OpenVPN dengan hanya nama pengguna dan kata sandi?

password authentication openvpn kbuilds
sumber

Jawaban:

5

Anda dapat mengautentikasi menggunakan nama pengguna / kata sandi dengan sangat baik tanpa sertifikat server / CA. Namun, saya sangat menganjurkan konfigurasi untuk memverifikasinya dengan sertifikat CA Anda untuk mencegah serangan Man-in-the-Middle.

Tanpa verifikasi server, siapa pun dapat menyamar sebagai server OpenVPN Anda dan hanya menerima nama pengguna / kata sandi Anda. Hasil:

  • Penyerang dapat mencegat semua lalu lintas. Karena Anda tidak memverifikasi server yang Anda hubungkan, siapa pun dapat mengklaim sebagai server Anda di jaringan publik (atau jaringan pribadi yang dikendalikan oleh penyerang).
  • Penyerang mengetahui kombinasi nama pengguna / kata sandi Anda. Sangat sangat buruk jika Anda menggunakan kembali kata sandi yang sama untuk hal-hal lain juga.

Di Network Manager, itu berfungsi dengan baik tanpa CA Cert seperti yang ditunjukkan di bawah ini, tapi tolong jangan gunakan seperti itu! Jika Anda tidak menggunakan sertifikat server / CA pada Windows, Anda benar-benar rentan terhadap serangan di atas.

masukkan deskripsi gambar di sini

gertvdijk
sumber
Itu tidak berfungsi di Ubuntu 16.04. Tombol 'Simpan' dinonaktifkan hingga Anda memilih sertifikat
leo
1
@leo Oh, itu berita yang sangat bagus. Itu mencegah satu kasus konfigurasi tidak aman lagi! :-)
gertvdijk
3

Saya telah menemukan jawaban di sini: http://openvpn.net/index.php/open-source/documentation/howto.html#auth

Ingat, Anda masih harus memiliki sertifikat server

Menggunakan otentikasi nama pengguna / kata sandi sebagai satu-satunya bentuk otentikasi klien

Secara default, menggunakan auth-user-pass-verifikasi atau plugin yang memeriksa nama pengguna / kata sandi di server akan mengaktifkan otentikasi ganda, yang mensyaratkan baik sertifikat klien dan otentikasi nama pengguna / kata sandi berhasil agar klien diautentikasi.

Meskipun tidak disarankan dari perspektif keamanan, juga dimungkinkan untuk menonaktifkan penggunaan sertifikat klien, dan memaksakan autentikasi nama pengguna / kata sandi saja. Di server:

client-cert-not-required Konfigurasi seperti itu biasanya juga harus ditetapkan:

username-as-common-name yang akan memberitahu server untuk menggunakan nama pengguna untuk tujuan pengindeksan karena akan menggunakan Nama Umum klien yang diautentikasi melalui sertifikat klien.

Perhatikan bahwa client-cert-not-required tidak akan meniadakan kebutuhan akan sertifikat server, sehingga klien yang terhubung ke server yang menggunakan client-cert-tidak diperlukan dapat menghapus sertifikat dan arahan kunci dari file konfigurasi klien, tetapi tidak arahan ca, karena itu perlu bagi klien untuk memverifikasi sertifikat server.

ruX
sumber