forum.opennet.ru

Составление сообщения

Исходное сообщение

"VPN WireGuard принят в ветку net-next и намечен для включени..."
Отправлено Аноним, 24-Дек-19 13:13

> ну как бы предполагается, что если у тебя кто-то может подменить сервер,
Для себя я буду предполагать что я не хочу разминировать инструментарий до того как пользоваться им. Чем меньше телодвижений такого плана - тем лучше для меня инструмент.
> да еще и чисто случайно у него откуда-то взялся полноценный серт
Чисто случайно, клиентские сертификаты - достаточно полноценны для этого. Еще более случайно, некоторые реализации опенвпн-а не хотят работать если клиенту в подобной конфигурации сертификат не дать. В целом по планете это сколлапсировало в вот такую ситуацию: много конфигураций где сертификаты "пришлось выдать" (иначе саппортам все время делают мозг) - а защитой от этого самого не озаботились.

> - ты настолько в глубокой оппе, что можно уже не париться мелочами.
А с вайргадом те же господа в именно такую оппу все-таки не попадут. Это просто не предусмотрено.
> Хотя ручка в принципе и предусмотрена, корявенькая
Оно предусмотрено, но почему-то везде где меня волновало - это вообще самому приходилось дописывать. Админам делавшим .ovpn файлы на раздачу секурити клиентов была почему-то до балды. Ну и смысл в шифровании и проч, если любой клиент потом под сервер сможет косить? Чтобы пару раз в месяц CVE в огромной мегалибе openssl-я затыкать? Без этого типа скучно? :)
> А наиболее простой и, казалось бы, очевидный способ - просто использовать разные
> CA для сервера и для клиентов - они ж никак не связаны, клиент сам себя не проверяет,
> да и наоборот тоже.
Ну вообще-то первое что всем приходит в голову это слепить CA, выписать сертификат серверу и клиентам. И это в принципе даже катит, но проверку типа сертификата при хэндшейке почему-то надо явно впихивать в конфиг. По дефолту не делается.
> и их юзеру совершенно ничего не грозит. Куда более вероятно что они
> проимеют ключ CA, валяющийся на десктопчике админчика
До десктопчика админчика еще добраться надо, неудобно. А клиентовый серт - у каждого первого клиента впн обычно есть. Его намного проще получить и его достаточно чтобы сервер изобразить. После чего ключ CA атакующему просто ни к чему.
> или вовсе прямо на сервере (который по совместительству корпоративный вебсайт,
> почта и вебмин для управления всем сразу).
Это отдельная проблема, ортогональная озвученной.
Я не понимаю как еще понятнее объяснить: я видел толпу уязвимых конфигураций openvpn в диком виде. И это - не фича.

Исходное сообщение
"VPN WireGuard принят в ветку net-next и намечен для включени..." Отправлено Аноним, 24-Дек-19 13:13
> ну как бы предполагается, что если у тебя кто-то может подменить сервер, Для себя я буду предполагать что я не хочу разминировать инструментарий до того как пользоваться им. Чем меньше телодвижений такого плана - тем лучше для меня инструмент. > да еще и чисто случайно у него откуда-то взялся полноценный серт Чисто случайно, клиентские сертификаты - достаточно полноценны для этого. Еще более случайно, некоторые реализации опенвпн-а не хотят работать если клиенту в подобной конфигурации сертификат не дать. В целом по планете это сколлапсировало в вот такую ситуацию: много конфигураций где сертификаты "пришлось выдать" (иначе саппортам все время делают мозг) - а защитой от этого самого не озаботились. > - ты настолько в глубокой оппе, что можно уже не париться мелочами. А с вайргадом те же господа в именно такую оппу все-таки не попадут. Это просто не предусмотрено. > Хотя ручка в принципе и предусмотрена, корявенькая Оно предусмотрено, но почему-то везде где меня волновало - это вообще самому приходилось дописывать. Админам делавшим .ovpn файлы на раздачу секурити клиентов была почему-то до балды. Ну и смысл в шифровании и проч, если любой клиент потом под сервер сможет косить? Чтобы пару раз в месяц CVE в огромной мегалибе openssl-я затыкать? Без этого типа скучно? :) > А наиболее простой и, казалось бы, очевидный способ - просто использовать разные > CA для сервера и для клиентов - они ж никак не связаны, клиент сам себя не проверяет, > да и наоборот тоже. Ну вообще-то первое что всем приходит в голову это слепить CA, выписать сертификат серверу и клиентам. И это в принципе даже катит, но проверку типа сертификата при хэндшейке почему-то надо явно впихивать в конфиг. По дефолту не делается. > и их юзеру совершенно ничего не грозит. Куда более вероятно что они > проимеют ключ CA, валяющийся на десктопчике админчика До десктопчика админчика еще добраться надо, неудобно. А клиентовый серт - у каждого первого клиента впн обычно есть. Его намного проще получить и его достаточно чтобы сервер изобразить. После чего ключ CA атакующему просто ни к чему. > или вовсе прямо на сервере (который по совместительству корпоративный вебсайт, > почта и вебмин для управления всем сразу). Это отдельная проблема, ортогональная озвученной. Я не понимаю как еще понятнее объяснить: я видел толпу уязвимых конфигураций openvpn в диком виде. И это - не фича.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> ну как бы предполагается, что если у тебя кто-то может подменить сервер,

> Для себя я буду предполагать что я не хочу разминировать инструментарий до 
> того как пользоваться им. Чем меньше телодвижений такого плана - тем 
> лучше для меня инструмент.

>> да еще и чисто случайно у него откуда-то взялся полноценный серт

> Чисто случайно, клиентские сертификаты - достаточно полноценны для этого. Еще более случайно, 
> некоторые реализации опенвпн-а не хотят работать если клиенту в подобной конфигурации 
> сертификат не дать. В целом по планете это сколлапсировало в вот 
> такую ситуацию: много конфигураций где сертификаты "пришлось выдать" (иначе саппортам 
> все время делают мозг) - а защитой от этого самого не 
> озаботились.

>> - ты настолько в глубокой оппе, что можно уже не париться мелочами.

> А с вайргадом те же господа в именно такую оппу все-таки не 
> попадут. Это просто не предусмотрено.

>> Хотя ручка в принципе и предусмотрена, корявенькая

> Оно предусмотрено, но почему-то везде где меня волновало - это вообще самому 
> приходилось дописывать. Админам делавшим .ovpn файлы на раздачу секурити клиентов была 
> почему-то до балды. Ну и смысл в шифровании и проч, если 
> любой клиент потом под сервер сможет косить? Чтобы пару раз в 
> месяц CVE в огромной мегалибе openssl-я затыкать? Без этого типа скучно? 
> :)

>> А наиболее простой и, казалось бы, очевидный способ - просто использовать разные 
>> CA для сервера и для клиентов - они ж никак не связаны, клиент сам себя не проверяет, 
>> да и наоборот тоже.

> Ну вообще-то первое что всем приходит в голову это слепить CA, выписать 
> сертификат серверу и клиентам. И это в принципе даже катит, но 
> проверку типа сертификата при хэндшейке почему-то надо явно впихивать в конфиг. 
> По дефолту не делается.

>> и их юзеру совершенно ничего не грозит. Куда более вероятно что они 
>> проимеют ключ CA, валяющийся на десктопчике админчика

> До десктопчика админчика еще добраться надо, неудобно. А клиентовый серт - у 
> каждого первого клиента впн обычно есть. Его намного проще получить и 
> его достаточно чтобы сервер изобразить. После чего ключ CA атакующему просто 
> ни к чему.

>> или вовсе прямо на сервере (который по совместительству корпоративный вебсайт, 
>> почта и вебмин для управления всем сразу).

> Это отдельная проблема, ортогональная озвученной.

> Я не понимаю как еще понятнее объяснить: я видел толпу уязвимых конфигураций 
> openvpn в диком виде. И это - не фича.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру