[Sysadmins] Безопасность openvpn

[Nikolay A. Fetisov]

On Sun, 1 Mar 2009 17:57:17 +0300
Michael A. Kangin wrote:

> On Sunday 01 March 2009 17:25:45 Nikolay A. Fetisov wrote:
> 
> > > Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется
> > > в своём собственном VE?
> > ... никто не мешает как разрешить запускать iptables и
> > 'ip route' из скрипта через sudo, так и втащить их во внутрь chroot'а.
> 
> ... Страшит ручной труд по втаскиванию и трудности с 
> поддержкой... 

Как вариант - вытащить из chroot и оставить работать под
непривилегированным пользователем.

> ....
> Есть пользователи, есть филиалы. Моя первоначальная мысль была - не 
> заморачиваться с дополнительными каналами, и принимать тех и других одним и 
> тем же каналом демона, разруливая особенности клиентскими файлами. 

Зависит от числа как пользователей, так и филиалов. И от того,
насколько различаются требования к этим двум группам соединений.

Например, филиалы должны иметь возможность общаться друг с другом через
сервер OpenVPN (т.е. будет ли включён флаг client-to-client)? Если да,
то и пользователи тоже смогут видеть друг друга - что, скорее всего,
нежелательно.


> Пользователи могут коннектиться потенциально с разных машин, для них-то и 
> делается duplicate-cn.

Зачем? dublicate-cn разрешает несколько одновременных соединений с
одним и и тем же сертификатом. Или пользователи могут _одновременно_
работать с разных машин?

И не проще ли тем пользователям, которые действительно имеют несколько
компьютеров, выдать несколько сертификатов?

> ...
> Или ... лучше всё же развести их по каналам?

Зависит от числа пользователей и от того, откуда они подсоединяются.
 
Как правило, филиалов немного, их число меняется редко - явные
кандидаты на получение фиксированных IP.

Пользователи же характерны тем, что выданные им права на подключения к
серверу OpenVPN может потребоваться отозвать.

Если пользователей немного - то им вполне можно назначать фиксированные
IP через персональные файлы конфигурации в ccd/ . Дополнительно можно
включить на сервере ccd-exclusive и тем самым запретить соединения от
тех клиентов, для которых файлов конфигурации не существует. После
этого, если надо запретить соединение от какого-либо пользователя,
достаточно удалить его файл конфигурации.

Если пользователей много - то может оказаться проще не создавать для
каждого из них свой файл конфигурации, а отзывать сертификаты
средствами SSL, через CRL. Для избранных пользователей при этом можно
оставить и индивидуальные файлы настроек, они вполне уживаются с
динамическим распределением адресов.

Кроме того, возможно вообще потребуется отдельно поднимать сервер
OpenVPN на 443/tcp, специально для тех, кто сидит за прокси-серверами.

-- 
С уважением,
Николай Фетисов