OpenVPN 서버를 실행하기 위해 Asus N66U 라우터에서 Shibby의 Tomato (64k NVRAM 버전) 빌드를 사용하고 있습니다.
사용자가 액세스하기 전에 인증서 와 사용자 이름 / 암호를 모두 요구하도록이 OpenVPN 서버를 설정할 수 있는지 궁금합니다 .
인증서 세부 정보를 입력 할 때 "도전 비밀번호"항목이 있음을 알았지 만 모든 사람이 "또는 다른"항목을 비워 두라고 말합니다. 이유를 모르겠으며 설명을 찾을 수 없습니다. 또한이 문제를 Google에서 많이 발견했으며 사용자 이름 / 비밀번호를 통해 인증하기 위해 OpenVPN의 PAM 모듈에 대해 이야기하는 사람들을 보았지만 그 중 하나 또는 옵션 인 것처럼 보입니다 . 즉, 사용자 이름 / 암호 또는 인증서 를 통해 인증을 강제 할 수 있습니다 . 둘 다 필요합니다.
이것이 가능한가? 그렇다면 어떻게?
답변:
를 기준으로 인증 클라이언트에 서버 수 있습니다 당신이 찾고있는 OpenVPN의 기능, 모두 자신의 인증서와 자격 증명입니다 auth-user-pass-verify. 이 기능을 통해 서버는 원격 사용자가 제공 한 사용자 이름 / 암호를 인증을 수행하는 스크립트로 전달할 수 있습니다. 이 시점에서 PAM, RADIUS, LDAP, 연기 신호 등 원하는 항목에 대해 자격 증명의 유효성을 검사 할 수 있습니다.
"토마토 (Tomato)"펌웨어에 대해서는 전혀 모르므로 여기서는 단계별로 설명하지 않습니다. 몇 가지 빠른 검색을 수행했으며 OpenVPN "사용자 지정 구성"옵션을 사용하여 auth-user-pass-verify참조 를 포함 할 수 있다고 생각합니다 . 인증을 수행하려면 스크립트가 필요합니다.
몇 가지 검색을 수행하면 "토마토"관련 참조가있을 것입니다.
챌린지 암호는 키의 암호 해독을 허용하는 데 사용되는 암호입니다. 이것이 실제로 "암호"와 키를 수행 할 수있는 유일한 방법입니다.
실제로 비밀번호 나 키로 만 확인할 수 있고 둘 다 로만 확인할 수는 없습니다. 두 가지 방법을 모두 사용하는 경우 먼저 키 인증을 시도하고 실패하면 암호 인증으로 대체됩니다.
키에 암호를 입력하지 않으면 누군가 키를 잡을 때 자신의 신분을 쉽게 모방 할 수 있습니다.
interwebz가 키에 암호를 사용하지 말고 실제로 문제인지 확인 해야하는 이유를 찾는 것이 좋습니다.
auth-user-pass-verify가 올바른 일입니다. 또한 인증 사용자의 사용자 이름을 인증 된 CN으로 설정해야합니다. openvpn이 한 번에 각 인증서를 한 번에 하나씩 만 연결하도록 할 수 있습니다.
그렇게하면 "mimic"은 certc CN 및 올바른 패스와 비교하여 올바른 사용자를 가져야하고 실제 소유자가 한 번에 로그온해야합니다.
또한 IDS에 대해 생각할 수도 있습니다. 선택한 ID에 따라 허용되는 외부 IP 범위, 로그온 시간 등과 같이 범위를 좁힐 수도 있습니다.
노출 된 인증서는 즉시 취소해야합니다. 서명 서버는 인터넷에 연결되어 있지 않아야합니다. USB로 전송 키를 사용하면 안전한 보안 액세스가 가능합니다.
인증서를 암호로 입력해서는 안됩니다.
그러나 정말로 원한다면 인증 사용자와 인증서 비밀번호를 동시에 사용할 수 있습니다.
첫 번째 openvpn은 인증서 비밀번호를 사용하여 개인 키를 해독하여 연결을 설정 한 다음 인증 사용자가 서버에서 킥을 시작합니다.
그러나 공격자가 정기적으로 자격 증명을 얻는다면 이미 문제가 발생했을 가능성이 높고 인증서 암호도 얻었습니다.
그래서 나는 여기에 많은 단점과 더 많은 보안에 대한 잘못된 느낌이 실제로 이익을 보지 못합니다.
나는이 튜토리얼을 따랐다 (아수스 N66U에서 TomatoUSB Shibby 1.28 사용) : http://www.dd-wrt.com/wiki/index.php/OpenVPN 이것은 당신에게 많은 도움이 될 수 있습니다.