[Sysadmins] Безопасность openvpn

Michael A. Kangin =?iso-8859-1?q?mak_=CE=C1_complife=2Eru?=
Вс Мар 1 17:57:17 MSK 2009 

On Sunday 01 March 2009 17:25:45 Nikolay A. Fetisov wrote:

> > Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется
> > в своём собственном VE?
> > А то есть желание поднимать файрвольные правила и рутинг поюзерно с
> > помощью client-connect script и client-config-dir/
> Особых противопоказаний нет. Работа от непривилегированного
> пользователя и в chroot-окружении исходя из общих соображений
> желательна, но не обязательна.
> С другой стороны, никто не мешает как разрешить запускать iptables и
> 'ip route' из скрипта через sudo, так и втащить их во внутрь chroot'а.

Да, думал над этим. Страшит ручной труд по втаскиванию и трудности с 
поддержкой... До сих пор с содроганием вспоминаю свой апач в чруте на 
слакваре.

> > И есть ли альтернативные варианты? Жёстко привязывать пользователей к
> > фиксированным IPшникам не хотелось бы, из-за возможных duplicate-cn в
> > частности.
> Зависит от задачи. Например, не совсем понятно, как планируется
> совмещать использование одинаковых сертификатов на нескольких клиентах
> и зависящие от конкретных клиентов правила маршрутизации.
> Т.е., индивидуальные маршруты в client-config-dir задаются, если есть
> необходимость дать доступ через канал OpenVPN к сети на стороне клиента.
> Если этот клиент (различаемый по cn) может устанавливать
> одновременно несколько соединений (что разрешает делать duplicate-cn),
> то как скрипт client-connect будет определять, какое из этих соединений
> использовать для маршрута в сеть клиента?
> Аналогичные вопросы - и по индивидуальным для клиента правилам
> межсетевого экрана.

Есть пользователи, есть филиалы. Моя первоначальная мысль была - не 
заморачиваться с дополнительными каналами, и принимать тех и других одним и 
тем же каналом демона, разруливая особенности клиентскими файлами. 
Пользователи могут коннектиться потенциально с разных машин, для них-то и 
делается duplicate-cn. Рутинг на них как раз поднимать не надо, только 
файрвольное правило (if user=admin_vasya then iptables -s $vadmin_vasya_ip -j 
ACCEPT). 
А филиалы ожидаются по одному подключению, и им как раз необходимо возведение 
рутинга.

Или я фигнёй страдаю и лучше всё же развести их по каналам?


-- 
wbr, Michael A. Kangin

Подробная информация о списке рассылки Sysadmins