[Sysadmins] Безопасность openvpn

[Sysadmins] Безопасность openvpn

[Michael A. Kangin]

Добрый день.

Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется в 
своём собственном VE?
А то есть желание поднимать файрвольные правила и рутинг поюзерно с помощью 
client-connect script и client-config-dir/

И есть ли альтернативные варианты? Жёстко привязывать пользователей к 
фиксированным IPшникам не хотелось бы, из-за возможных duplicate-cn в 
частности.

-- 
wbr, Michael A. Kangin

Re: [Sysadmins] Безопасность openvpn

[Nikolay A. Fetisov]

On Sun, 1 Mar 2009 13:23:45 +0300
Michael A. Kangin wrote:

> Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется в 
> своём собственном VE?
> А то есть желание поднимать файрвольные правила и рутинг поюзерно с помощью 
> client-connect script и client-config-dir/

Особых противопоказаний нет. Работа от непривилегированного
пользователя и в chroot-окружении исходя из общих соображений
желательна, но не обязательна.
С другой стороны, никто не мешает как разрешить запускать iptables и 
'ip route' из скрипта через sudo, так и втащить их во внутрь chroot'а.

> И есть ли альтернативные варианты? Жёстко привязывать пользователей к 
> фиксированным IPшникам не хотелось бы, из-за возможных duplicate-cn в 
> частности.

Зависит от задачи. Например, не совсем понятно, как планируется
совмещать использование одинаковых сертификатов на нескольких клиентах
и зависящие от конкретных клиентов правила маршрутизации.

Т.е., индивидуальные маршруты в client-config-dir задаются, если есть
необходимость дать доступ через канал OpenVPN к сети на стороне клиента.
Если этот клиент (различаемый по cn) может устанавливать
одновременно несколько соединений (что разрешает делать duplicate-cn),
то как скрипт client-connect будет определять, какое из этих соединений
использовать для маршрута в сеть клиента?

Аналогичные вопросы - и по индивидуальным для клиента правилам
межсетевого экрана.

-- 
С уважением,
Николай Фетисов

Re: [Sysadmins] Безопасность openvpn

[Michael A. Kangin]

On Sunday 01 March 2009 17:25:45 Nikolay A. Fetisov wrote:

> > Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется
> > в своём собственном VE?
> > А то есть желание поднимать файрвольные правила и рутинг поюзерно с
> > помощью client-connect script и client-config-dir/
> Особых противопоказаний нет. Работа от непривилегированного
> пользователя и в chroot-окружении исходя из общих соображений
> желательна, но не обязательна.
> С другой стороны, никто не мешает как разрешить запускать iptables и
> 'ip route' из скрипта через sudo, так и втащить их во внутрь chroot'а.

Да, думал над этим. Страшит ручной труд по втаскиванию и трудности с 
поддержкой... До сих пор с содроганием вспоминаю свой апач в чруте на 
слакваре.

> > И есть ли альтернативные варианты? Жёстко привязывать пользователей к
> > фиксированным IPшникам не хотелось бы, из-за возможных duplicate-cn в
> > частности.
> Зависит от задачи. Например, не совсем понятно, как планируется
> совмещать использование одинаковых сертификатов на нескольких клиентах
> и зависящие от конкретных клиентов правила маршрутизации.
> Т.е., индивидуальные маршруты в client-config-dir задаются, если есть
> необходимость дать доступ через канал OpenVPN к сети на стороне клиента.
> Если этот клиент (различаемый по cn) может устанавливать
> одновременно несколько соединений (что разрешает делать duplicate-cn),
> то как скрипт client-connect будет определять, какое из этих соединений
> использовать для маршрута в сеть клиента?
> Аналогичные вопросы - и по индивидуальным для клиента правилам
> межсетевого экрана.

Есть пользователи, есть филиалы. Моя первоначальная мысль была - не 
заморачиваться с дополнительными каналами, и принимать тех и других одним и 
тем же каналом демона, разруливая особенности клиентскими файлами. 
Пользователи могут коннектиться потенциально с разных машин, для них-то и 
делается duplicate-cn. Рутинг на них как раз поднимать не надо, только 
файрвольное правило (if user=admin_vasya then iptables -s $vadmin_vasya_ip -j 
ACCEPT). 
А филиалы ожидаются по одному подключению, и им как раз необходимо возведение 
рутинга.

Или я фигнёй страдаю и лучше всё же развести их по каналам?


-- 
wbr, Michael A. Kangin

Re: [Sysadmins] Безопасность openvpn

[Nikolay A. Fetisov]

On Sun, 1 Mar 2009 17:57:17 +0300
Michael A. Kangin wrote:

> On Sunday 01 March 2009 17:25:45 Nikolay A. Fetisov wrote:
> 
> > > Насколько безопасна работа openvpn без чрута и от рута, если оно гоняется
> > > в своём собственном VE?
> > ... никто не мешает как разрешить запускать iptables и
> > 'ip route' из скрипта через sudo, так и втащить их во внутрь chroot'а.
> 
> ... Страшит ручной труд по втаскиванию и трудности с 
> поддержкой... 

Как вариант - вытащить из chroot и оставить работать под
непривилегированным пользователем.

> ....
> Есть пользователи, есть филиалы. Моя первоначальная мысль была - не 
> заморачиваться с дополнительными каналами, и принимать тех и других одним и 
> тем же каналом демона, разруливая особенности клиентскими файлами. 

Зависит от числа как пользователей, так и филиалов. И от того,
насколько различаются требования к этим двум группам соединений.

Например, филиалы должны иметь возможность общаться друг с другом через
сервер OpenVPN (т.е. будет ли включён флаг client-to-client)? Если да,
то и пользователи тоже смогут видеть друг друга - что, скорее всего,
нежелательно.


> Пользователи могут коннектиться потенциально с разных машин, для них-то и 
> делается duplicate-cn.

Зачем? dublicate-cn разрешает несколько одновременных соединений с
одним и и тем же сертификатом. Или пользователи могут _одновременно_
работать с разных машин?

И не проще ли тем пользователям, которые действительно имеют несколько
компьютеров, выдать несколько сертификатов?

> ...
> Или ... лучше всё же развести их по каналам?

Зависит от числа пользователей и от того, откуда они подсоединяются.
 
Как правило, филиалов немного, их число меняется редко - явные
кандидаты на получение фиксированных IP.

Пользователи же характерны тем, что выданные им права на подключения к
серверу OpenVPN может потребоваться отозвать.

Если пользователей немного - то им вполне можно назначать фиксированные
IP через персональные файлы конфигурации в ccd/ . Дополнительно можно
включить на сервере ccd-exclusive и тем самым запретить соединения от
тех клиентов, для которых файлов конфигурации не существует. После
этого, если надо запретить соединение от какого-либо пользователя,
достаточно удалить его файл конфигурации.

Если пользователей много - то может оказаться проще не создавать для
каждого из них свой файл конфигурации, а отзывать сертификаты
средствами SSL, через CRL. Для избранных пользователей при этом можно
оставить и индивидуальные файлы настроек, они вполне уживаются с
динамическим распределением адресов.

Кроме того, возможно вообще потребуется отдельно поднимать сервер
OpenVPN на 443/tcp, специально для тех, кто сидит за прокси-серверами.

-- 
С уважением,
Николай Фетисов