routovani s openVPN
Dan Lukes
dan at obluda.cz
Sat Oct 20 01:05:20 CEST 2007
Radomir Tomanek wrote:
>> To, co server routuje urcuje predevsim directiva route. Predpokladam, ze
>> klient-to-klient je defacto route 0.0.0.0 0.0.0.0 a to bych za vyhru
>> nepovazoval.
Spis je to interni routing provozovany OpenVPN serverem, ktery muze mit
sdmysl v pripade, ze je fakticky pouzita point-to-multipoint konfigurace:
"When this option is used, each client will "see" the other clients
which are currently connected. Otherwise, each client will only see the
server."
> Muzu se tedy zeptat v cem je z bezpečnostního hlediska
> problem v tom, co jsem popsal? Jsou tri situace, které resim:
> 1) spojuji dve nebo vice siti do WAN, potom me zajimai site za vsemi
> koncovymi body tunelu a resim to direktivou clinet-to-client + direktivou
> push route. Resim routovani mezi privatni siti a VPN.
Pro to, zda ma nebo nema byt pouzivat direktiva client-to-client je
rozhodujici, jestli se pocitace z takto pripojovanych siti maji nebo
nemaji videt navzajem. Pokud ani, direktiva tam byt musi. Pokud ne, je
"liberalni routing" zbytecnym bezpecnostnim rizikem. Pocitace v jedne
siti mohou, komunikovat s pocitaci v dalsich sitich, coz muze usnadnit
sireni viru nebo nektere typy utoku. Pokud to je potreba, pak je to
nutne riziko a nezbyva nez client-to-client povolit, pokud takova
komunikace potreba neni jde o riziko zbytecne.
> 2) pripojuji se klientem z obecneho internetu do lokalni site, opet
> potrebuji "jit az za VPN server" a opet pouziji direktivu client-to-client,
> muj klient bez dalšího nastaveni stejne nepreroutuje packety z lokalni site
> do tunelu.
> 3) pripojuji se klientem pouze na server (pop, imap apod.) a potom muzu
> zakazat client-to-client.
Ad 2) i 3): client-to-client nema co delat s moznosti ci nemoznosti
prochazet "za VPN server", ale pouze s moznosti "prochazet do jinych
siti pripojenych take prostrednictvim tehoz VPN serveru". Moznost
komunikovat s jinymi sitemi "za routerem" vyjma tech v predchozi vete
zminenych je otazkou nastaveni routingu.
Pouziti flagu se v praxi sice projevi instalovanim urcite route, ale to
bychom zamenili pricinu a nasledek. Takovou route, pokud ji potrebujes,
si nainstaluj jinymi k tomu urcenymi direktivami a ne client-to-client,
ktera ma predevsim jine ucinky. To, zda v konkretnim pripade ucinky
potrebne/zadouci/akceptovatelne je legitimni otazka, nicmene, otazka
jina nez routovani z OpenVPN siti do ne-OpenVPN siti za routerem
pripojenych.
Dan
More information about the Users-l
mailing list