가능한? 인증서 및 비밀번호 기반 로그인이 필요한 OpenVPN 서버 (토마토 라우터 펌웨어를 통해)


8

OpenVPN 서버를 실행하기 위해 Asus N66U 라우터에서 Shibby의 Tomato (64k NVRAM 버전) 빌드를 사용하고 있습니다.

사용자가 액세스하기 전에 인증서 사용자 이름 / 암호를 모두 요구하도록이 OpenVPN 서버를 설정할 수 있는지 궁금합니다 .

인증서 세부 정보를 입력 할 때 "도전 비밀번호"항목이 있음을 알았지 만 모든 사람이 "또는 다른"항목을 비워 두라고 말합니다. 이유를 모르겠으며 설명을 찾을 수 없습니다. 또한이 문제를 Google에서 많이 발견했으며 사용자 이름 / 비밀번호를 통해 인증하기 위해 OpenVPN의 PAM 모듈에 대해 이야기하는 사람들을 보았지만 그 중 하나 또는 옵션 인 것처럼 보입니다 . 즉, 사용자 이름 / 암호 또는 인증서 를 통해 인증을 강제 할 수 있습니다 . 둘 다 필요합니다.

이것이 가능한가? 그렇다면 어떻게?

답변:


4

를 기준으로 인증 클라이언트에 서버 수 있습니다 당신이 찾고있는 OpenVPN의 기능, 모두 자신의 인증서와 자격 증명입니다 auth-user-pass-verify. 이 기능을 통해 서버는 원격 사용자가 제공 한 사용자 이름 / 암호를 인증을 수행하는 스크립트로 전달할 수 있습니다. 이 시점에서 PAM, RADIUS, LDAP, 연기 신호 등 원하는 항목에 대해 자격 증명의 유효성을 검사 할 수 있습니다.

"토마토 (Tomato)"펌웨어에 대해서는 전혀 모르므로 여기서는 단계별로 설명하지 않습니다. 몇 가지 빠른 검색을 수행했으며 OpenVPN "사용자 지정 구성"옵션을 사용하여 auth-user-pass-verify참조 를 포함 할 수 있다고 생각합니다 . 인증을 수행하려면 스크립트가 필요합니다.

몇 가지 검색을 수행하면 "토마토"관련 참조가있을 것입니다.


2

챌린지 암호는 키의 암호 해독을 허용하는 데 사용되는 암호입니다. 이것이 실제로 "암호"와 키를 수행 할 수있는 유일한 방법입니다.

실제로 비밀번호 키로 만 확인할 수 있고 둘 다 로만 확인할 수는 없습니다. 두 가지 방법을 모두 사용하는 경우 먼저 키 인증을 시도하고 실패하면 암호 인증으로 대체됩니다.

키에 암호를 입력하지 않으면 누군가 키를 잡을 때 자신의 신분을 쉽게 모방 할 수 있습니다.

interwebz가 키에 암호를 사용하지 말고 실제로 문제인지 확인 해야하는 이유를 찾는 것이 좋습니다.


그래, 내가 대답하는 데 어려움을 겪고있는 것입니다. 다른 누군가가 그런 점에서 우리를 깨우칠 수 있기를 바랍니다. 반 직관적 인 제안처럼 보입니다.
Eric

그 사이에 인증서 + 요구 사항의 강도를 사용자 이름 / 암호 콤보와 비교할 수있는 정량적 인 방법이 있습니까? 나는 크랙하기가 더 어렵다고 가정하지만, 그것은 내 지식에 기초한 가정 일뿐입니다.
Eric

이것은 오래된 대답이지만 ... 비밀번호가 도전하는 것은 아닙니다. 위에서 설명한대로 암호를 사용하여 키를 보호 할 수 있지만 인증 암호는 관련이 없습니다. 인증서 나 키에 저장되지 않지만 CA와 함께 유지됩니다. CA를 사용하여 키를 취소하거나 대체를 발행 할 때 사용됩니다.
Jack B

2

auth-user-pass-verify가 올바른 일입니다. 또한 인증 사용자의 사용자 이름을 인증 된 CN으로 설정해야합니다. openvpn이 한 번에 각 인증서를 한 번에 하나씩 만 연결하도록 할 수 있습니다.

그렇게하면 "mimic"은 certc CN 및 올바른 패스와 비교하여 올바른 사용자를 가져야하고 실제 소유자가 한 번에 로그온해야합니다.

또한 IDS에 대해 생각할 수도 있습니다. 선택한 ID에 따라 허용되는 외부 IP 범위, 로그온 시간 등과 같이 범위를 좁힐 수도 있습니다.

노출 된 인증서는 즉시 취소해야합니다. 서명 서버는 인터넷에 연결되어 있지 않아야합니다. USB로 전송 키를 사용하면 안전한 보안 액세스가 가능합니다.

인증서를 암호로 입력해서는 안됩니다.

  1. 무차별 대쉬
  2. 사용자를 잠글 수 없습니다 (인증서 패스는 오프라인 전용입니다).
  3. 사람들은 항상 암호를 느슨하게하여 매번 인증서를 취소하고 다시 만들어야합니다. 때로는 취소를 잊어 버릴 수있는 많은 인증서가있을 위험이 있습니다.

그러나 정말로 원한다면 인증 사용자와 인증서 비밀번호를 동시에 사용할 수 있습니다.

첫 번째 openvpn은 인증서 비밀번호를 사용하여 개인 키를 해독하여 연결을 설정 한 다음 인증 사용자가 서버에서 킥을 시작합니다.

그러나 공격자가 정기적으로 자격 증명을 얻는다면 이미 문제가 발생했을 가능성이 높고 인증서 암호도 얻었습니다.

그래서 나는 여기에 많은 단점과 더 많은 보안에 대한 잘못된 느낌이 실제로 이익을 보지 못합니다.


0

나는이 튜토리얼을 따랐다 (아수스 N66U에서 TomatoUSB Shibby 1.28 사용) : http://www.dd-wrt.com/wiki/index.php/OpenVPN 이것은 당신에게 많은 도움이 될 수 있습니다.


2
AndyZ-SF에 오신 것을 환영하지만 링크 (연령에 따라 썩을 수 있음)보다 더 많은 물질을 포함하는 답변이 좋습니다. 이 답변을 정밀 검사하여 기사에 대한 링크뿐만 아니라 따라온 방법의 중요한 부분을 포함 할 수 있다면 정말 좋은 답변이 될 수 있습니다.
MadHatter
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.