Re: openvpn - alcuni dubbi [RISOLTO, con nuovi dubbi...]
Il 18/01/2014 01:27, Ennio-Sr ha scritto:
> Riprendo questo vecchio post per ringraziarti nuovamente: dopo aver
> 'studiato' un po' sono riuscito a stabilire il collegamento VPN e ad
> entrare nel PC da remoto, anche con un iPad ;-)
> Ma ...
>
> * onetmt <onetmt@gmail.com> [100114, 09:09]:
[...]
>> trovi una guida qui:
>>
>> http://openvpn.net/index.php/open-source/documentation/miscellaneous/77-rsa-key-management.html
>>
>
> Davvero ottima: c'è tutto (o quasi) ciò che si deve sapere (a patto di
> avere le idee più chiare su ciò di cui si sta parlando (e io non le
> avevo!)
>
>> [...]
[...]
>> In questo caso, io ho usato un tunnel tcp sulla porta 443. Se hai creato
[...]
>
> Hai scelto 443 per motivi di sicurezza o altro?
Altro; un tunnel sulla 443 - normalmente usata da https - mi ha permesso
per i primi tempi di collegarmi all'ufficio dalla Cina; purtroppo devono
avermi sgamato (e con me la milionata di persone che usa le vpn ai
server europei per accedere a twitter e fb) e hanno istruito il "great
(fire)wall" a bloccare anche la 443 :(
> ---------------------------------
>
> Come dicevo nel 'subject', ho avuto la soddisfazione di collegarmi ma mi
> sorgono altri dubbi, questa volta sulla sicurezza:
>
> 1.= Ho fatto le prime prove creando certificati e chiavi su 'A' (un PC
> secondario della mia rete casalinga), ho copiato il client.conf su
> 'C' e da quest'ultimo (collegato su altra rete) ho stabilito il
> tunnel VPN ed ho verificato che potevo accedere ad 'A' con ssh.
Forse sarebbe stato meglio usare un'altra macchina - non coinvolta nelle
attività 'protocollari' - come CA, anche una macchina virtuale.
Onestamente non saprei spiegarti perche', ma mi sembra di aver letto da
qualche parte che e' piu' sicuro cosi'.
>
> 2.= Visto che funzionava, ho semplicemente copiato certificati e chiavi
> di cui sopra su mio PC principale 'B' (lasciando com'era il
> client.conf in 'C' ed ho visto che potevo collegarmi a 'B'
>
> Ora mi chiedo: se qualcuno dall'esterno si impossessasse dei file di cui
> sopra (ossia tutto il contenuto di 'easy-rsa' oltre a client e
> server.cert), potrebbe naturalmente fare altrettanto!?
Si'; e anche se ti ruba il PC. E se poi insieme al portatile ti ruba le
chiavi di casa...
>
> 3.= Nei due file di configurazione ho inserito le righe 'user nobody' e
> 'group nogroup', ma riesco egualmente a diventare 'root' dopo aver
> collegato 'C' a 'B'.
> Mi pare di aver letto che quelle istruzioni servivano ad evitare
> proprio questo. Allora, non ho capito io oppure c'è qualcosa che non
> va?
Mmh, qui non ci sono arrivato; ti ho gia' detto che non sono un guru
della sicurezza? Scherzi a parte, mi ero ripromesso di tornare su questi
argomenti, tipo blindare il certificato con una passphrase e impedire
aumenti di privilegi sul server, ma queste ottime intenzioni so tutte
finite nella mia todo list :)
>
> 4.= Stabilito il collegamento ssh con iPad ho provato ad accedere a X,
> ovviamente senza successo. Immagino che girando l'iPad su sistema
> con caratteristiche diverse non sia possibile
> l'<export DISPLAY=":0">, vero?
Boh? Non sono un fan della mela, e mi accontento di un ssh da console :D
>
> Grazie dell'attenzione, Ennio
>
>
Felice di esserti stato di un qualche aiuto,
Carlo
--
Hofstadter's Law:
"It always takes longer than you expect, even when you take into account
Hofstadter's Law."
Reply to: