Jump to content

VPN autenticação bidirecional


Dr_Lion

Recommended Posts

Boas, caros amigos.

Implmentei uma VPN, recorrendo ao pacote openvpn para o servidor. Neste momento tenho o servidor e clientes a funcionar com certificados, no entanto tenho algumas dúvidas que gostava de saber se me conseguem esclarecer.

A autenticação dos clientes no servidor é feita apenas por intermédio de certificados, do que pesquisei existe também a opção de adicionar outro método de autenticação em simultâneo para que a par com os certificados seja necessário introduzir umas credenciais de utilizador/password! No entanto do que pesquisei preciso de criar o script de autenticação, além da entropia que todo este processo vai criar, o esquecimento das passwords, o ter que cancelar certificados e criar novos, etc. Creio que é demasiado trabalho para a pequena vantagem que se obtém!

No entanto há outra questão para mim mais importante, que já pesquisei e não encontrei nenhuma referência na internet, ou não fiz a pesquisa pelos termos corretos! Que seria fazer a  autenticação do servidor quando os clientes se ligam á VPN ou seja, se o servidor que o cliente se está a tentar ligar não bater certo, o cliente não envia as credênciais/certificados. Quando crio a VPN no ubuntu (gnome-network-manager) além do separador geral, e do segurança, existe também o separador "autenticação TLS", que permite conectar apenas a servidor que cumpram determinados parâmetros.

A minha dúvida é como é que isto funciona, tem duas opções "subject match" ou verificação por certificado do servidor. Qual das duas usar, e como usar?

-no subject match o que tenho exatamente que colocar??

-e se optar pela verificação do certificado, qual é o ficheiro de certificado que devo aqui colocar (e o remote peer é servidor ou cliente?)?

Desde já agradeço pela ajuda prestada.

Link to comment
Share on other sites

Quanto á 1a pergunta já reparei que é excusado tanto esforço e não é trivial nem funciona de raíz. Já vi que nisto das VPNs não existem standards e não convém inventar.

Em relação á segunda questão já consegui, posso apenas colocar o cname do servidor vpn no campo subject match e é feita a verificação por esse parâmetro!

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.