[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Re: [openbsd] Autenticazione a due fattori con OpenVPN
Mittente: Valentino Squilloni - Ouz
Data: Sat, 19 Mar 2005 13:22:07 +0100 (CET)
On Wed, 16 Mar 2005, Luca Dell'Oca wrote:

Ciao a tutti,
ho installato e configurato senza problemi openvpn 2.0 sul mio firewall
openbsd 3.6, usando i certificati come metodo di autenticazione. Tutto
funziona benissimo, solo adesso vorrei aumentare la sicurezza del sistema
introducendo un secondo fattore di autenticazione.

Hai gia` usato --tls-auth ?

Se anche ci fosse un possibile exploit contro l'autenticazione TLS (che AFAIK e` l'unico elemento che puo` essere colpito, da chi non si e` autenticato) se usi tls-auth l'attaccante non sarebbe nemmeno in grado di generare un pacchetto con la firma HMAC corretta.

Ho visto che openvpn prevede un plugin apposito per interfacciarsi a pam e
autenticare anche username/password oltre al certificato, solo leggendo in
giro mi e' parso di aver capito che pam su openbsd non esiste (e' poco che
uso openbsd, quindi perdonate la mia niubbaggine). C'e' un qualche sistema
per far leggere a openvpn il passwd di openbsd?

Non so se lo possa fare direttamente, ma comunque non dovrebbe essere difficile implementarlo attraverso la direttiva --auth-user-pass-verify e uno script lato server.


BTW non penso che aumenti in modo consistente la sicurezza del sistema, gia` la mutua autenticazione con certificati, e l'utilizzo combinato di --tls-auth insieme ovviamente a tecniche basilari come l'utilizzo di un'utenza non privilegiata ti danno un ottimo livello di sicurezza.

Dai un'occhiata anche qui:	http://openvpn.net/howto.html#mitm

HTH, ciao

--
avendo accesso come root ad un server remoto, come potrei fare a rendere
il sistema non utilizzabile ma in modo sottile ?
Se NT puo' installarsi via FTP, e' la tua risposta.
                -- Leonardo Serni




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005