Клиент OpenVPN может закосить под сервер? о_О

0

3

Читал на опеннете одну темку и наткнулся на такого персонажа.

Цитата: "' Кроме того, секурно настроить openvpn - тот еще рокетсайнс. Поскольку он основан на TLS, там возможно много довольно забавных атак. Например, знаешь ли ты что КЛИЕНТ может кроме всего прочего без спецмер с стороны клиентов закосить под СЕРВЕР? И соответственно, если на впн есть 20 клиентов, любой из 20 может забацать подставной сервер, выступив MITM. OpenVPN конечно пишет про это варнинг, но чтобы понять его смысл - надо хоть что-то понимать в PKI и TLS. "'

Фулл: http://www.opennet.ru/openforum/vsluhforumID3/104808.html#95

О чем он говорит вообще? Прав ли говорящий или вгоняет очередную дичь?

Ссылка

←	VT100+ эмуляторы терминала — решето. А что делать?

Вопрос по шифрованию

→

Бинарь у openvpn вроде как один, и поведение (клиент или сервер) настраивается конфигом или параметром CLI.

pztrn ★★★★
(27.09.15 12:02:09 MSK)

Ссылка

О чем он говорит вообще?

О том, что он рукожоп и не читал маны.

Во-первых, есть опция ns-cert-type. Но даже если без нее - чтобы закосить под сервер, нужно выписать серверный сертификат, имея ключ сертификата CA.

Pinkbyte ★★★★★
(27.09.15 12:06:39 MSK)

Если аутентификация осуществляется по RSA-ключам, то при некорректной конфигурации любой клиент может используя свой ключ представиться сервером и другие клиенты ему поверят. Конечно для этого надо ещё перехватить трафик между другими клиентами и сервером.

~~Legioner~~ ★★★★★
(27.09.15 12:10:08 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 27.09.15 12:06:39 MSK

Нет, не обязательно.

anonymous
(27.09.15 15:52:58 MSK)

Ответ на: комментарий от anonymous 27.09.15 15:52:58 MSK

Ну так не томи, приведи пошаговый use-case по воспроизведению уязвимости.

Pinkbyte ★★★★★
(27.09.15 19:48:02 MSK)

Ответ на: комментарий от Pinkbyte 27.09.15 19:48:02 MSK

Мен мая не «томи» зваит.

anonymous
(27.09.15 20:13:24 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 27.09.15 19:48:02 MSK

1) Берем клиентский сертификат и ключ, используем его для поднятия OpenVPN-сервера.
2) Удостоверяемся, что в клиентском конфиге нет опций ns-cert-type и remote-cert-tls.
3) Подключаемся клиентом к серверу из пункта 1, который с клиентскими сертификатами.
4) Все работает.

Правда, зависит еще от KU и EKU в сертификатах, а не только от ns-cert-type и remote-cert-tls.

ValdikSS ★★★★★
(09.10.15 13:38:40 MSK)

Ответ на: комментарий от ValdikSS 09.10.15 13:38:40 MSK

А, некорректная настройка. Да, не зная о том как работают сертификаты можно накосячить. С таким же успехом можно и postfix как open relay настроить, если не знать как правильно его готовить.

Pinkbyte ★★★★★
(09.10.15 13:58:50 MSK)