openvpn: auth-user-pass или (и?) пароль?
Я настраиваю OpenVPN на PfSense 2.0, и теперь мне интересно, стоит ли использовать опцию "auth-user-pass", установить фразу-пароль для ключей openssl или и то, и другое.
Оба требуют дополнительный пароль рядом с действующим сертификатом, но я не знаю, является ли один метод более безопасным, чем другой.
Кажется, что только веб-интерфейс PfSense напрямую поддерживает только метод "auth-user-pass", так что использование ключевой фразы означало бы дополнительный шаг (добавление ключевой фразы с командой openssl) для каждого сертификата.
1 ответ
Два разных пароля, хотя и схожи в том, что видит пользователь, совершенно разные в том, что они защищают.
Пароль закрытого ключа - это ключ дешифрования к секретному ключу пользователя, обеспечивающий защиту данных в состоянии покоя. Он может быть изменен и удален пользователем по своему усмотрению, если он знаком с сертификатом x.509 и обработкой секретного ключа. Следует отметить, что в лучшем из всех миров вы, как оператор VPN-шлюза, не будете знать секретные ключи пользователя и их пароли, поскольку они будут сгенерированы и поддерживаться самими пользователями.
Директива auth-user-pass запрашивает комбинацию имени пользователя и пароля для доступа OpenVPN. Это сравнимо с тем, что делает XAuth для IPSec - используя его, OpenVPN может быть интегрирован с внешними сервисами аутентификации, такими как RADIUS, LDAP или PAM. Это можно использовать для смягчения инцидентов, связанных с "украденным личным ключом", но, скорее всего, в большинстве случаев он становится единственным методом аутентификации, поэтому OpenVPN может работать полностью без клиентских сертификатов (с опцией client-cert-not-required) и обеспечить некоторые функции единого входа для дорожных воинов с коммутируемым подключением VPN.
Будет ли один из вариантов "лучше", чем другой, во многом зависит от того, что вы на самом деле делаете и чего хотите достичь.