OpenVPN - Nur Passwortauthentifizierung


11

Wenn ich den OpenVPN-Client für Windows verwende, kann ich mich nur mit einem Benutzernamen und einem Kennwort beim OpenVPN-Server anmelden. Ich kann nicht herausfinden, wie ich dasselbe in Ubuntu erreichen kann. Es scheint, dass eine Art Zertifikat erforderlich ist.

Irgendeine Idee, wie man sich bei einem OpenVPN-Server mit nur einem Benutzernamen und einem Passwort authentifiziert?

Antworten:


5

Sie können sich ohne Server / CA-Zertifikat mit einem Benutzernamen / Passwort authentifizieren. Ich empfehle jedoch dringend, es so zu konfigurieren, dass es mit Ihrem CA-Zertifikat überprüft wird , um Man-in-the-Middle-Angriffe zu verhindern.

Ohne Serverüberprüfung kann sich jeder als OpenVPN-Server ausgeben und einfach Ihren Benutzernamen / Ihr Passwort akzeptieren. Ergebnisse:

  • Der Angreifer kann den gesamten Datenverkehr abfangen. Da Sie den Server, zu dem Sie eine Verbindung herstellen, nicht überprüfen, kann jeder behaupten, Ihr Server in einem öffentlichen Netzwerk (oder einem privaten Netzwerk, das vom Angreifer kontrolliert wird) zu sein.
  • Der Angreifer kennt Ihre Kombination aus Benutzername und Passwort. Sehr, sehr schlecht, falls Sie dasselbe Passwort auch für andere Zwecke wiederverwenden.

In Network Manager funktioniert es ohne CA Cert, wie unten gezeigt, aber bitte verwenden Sie es nicht so! Wenn Sie unter Windows kein Server- / CA-Zertifikat verwenden, sind Sie wirklich anfällig für die oben genannten Angriffe.

Geben Sie hier die Bildbeschreibung ein


Es funktioniert nicht unter Ubuntu 16.04. Die Schaltfläche 'Speichern' ist deaktiviert, bis Sie ein Zertifikat auswählen
Leo

1
@leo Oh, das sind sehr gute Nachrichten. Dann wird ein weiterer Fall unsicherer Konfigurationen verhindert! :-)
gertvdijk

3

Ich habe hier eine Antwort gefunden: http://openvpn.net/index.php/open-source/documentation/howto.html#auth

Denken Sie daran, dass Sie noch ein Serverzertifikat benötigen

Verwendung der Benutzernamen- / Kennwortauthentifizierung als einzige Form der Clientauthentifizierung

Standardmäßig aktiviert die Verwendung von auth-user-pass-verify oder eines Plugins zur Überprüfung von Benutzernamen und Kennwörtern auf dem Server die doppelte Authentifizierung. Voraussetzung ist, dass sowohl die Clientzertifikat- als auch die Benutzernamen- / Kennwortauthentifizierung erfolgreich sind, damit der Client authentifiziert werden kann.

Aus Sicherheitsgründen wird davon abgeraten, es ist jedoch auch möglich, die Verwendung von Clientzertifikaten zu deaktivieren und nur die Authentifizierung mit Benutzername / Kennwort zu erzwingen. Auf dem Server:

client-cert-not-required Solche Konfigurationen sollten normalerweise auch Folgendes festlegen:

Benutzername als allgemeiner Name, der den Server anweist, den Benutzernamen für Indizierungszwecke zu verwenden, da er den allgemeinen Namen eines Clients verwenden würde, der sich über ein Clientzertifikat authentifiziert hat.

Beachten Sie, dass Client-Zertifikat-nicht erforderlich die Notwendigkeit eines Serverzertifikats nicht überflüssig macht. Daher kann ein Client, der eine Verbindung zu einem Server herstellt, der Client-Zertifikat-nicht erforderlich verwendet, die Anweisungen für Zertifikat und Schlüssel aus der Client-Konfigurationsdatei entfernen, jedoch nicht die ca-Direktive, da der Client das Serverzertifikat überprüfen muss.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.