Я настраиваю OpenVPN на PfSense 2.0, и теперь мне интересно, следует ли использовать параметр «auth-user-pass», устанавливать парольную фразу для ключей openssl или и то, и другое.
Для обоих требуется дополнительный пароль помимо действующего сертификата, но я не знаю, является ли один метод более безопасным, чем другой.
Похоже, что в веб-интерфейсе PfSense напрямую поддерживается только метод auth-user-pass, поэтому использование пароля означало бы дополнительный шаг (добавление ключевой фразы с помощью команды openssl) для каждого сертификата.
Два разных пароля, хотя и схожи в том, что видит пользователь, но совершенно разные в том, что они защищают.
Пароль с закрытым ключом - это ключ для расшифровки закрытого ключа пользователя, обеспечивающий безопасность в ситуациях, когда данные хранятся. Он может быть изменен и удален пользователем по своему усмотрению, если он знаком с сертификатом x.509 и обработкой закрытого ключа. Следует отметить, что в лучшем случае вы, как оператор шлюза VPN, ничего не знаете о закрытых ключах пользователей и их паролях, поскольку они будут генерироваться и поддерживаться самими пользователями.
Директива auth-user-pass запрашивает комбинацию имени пользователя и пароля для доступа OpenVPN. Это сопоставимо с тем, что XAuth делает для IPSec - с его помощью OpenVPN может быть интегрирован с внешними службами аутентификации, такими как RADIUS, LDAP или PAM. это жестяная банка использоваться для предотвращения инцидентов с «украденным закрытым ключом», но более вероятно, что он становится единственным методом аутентификации в большинстве установок, поэтому OpenVPN может работать полностью без клиентских сертификатов (с опцией client-cert-not-required) и предоставлять некоторые функция единого входа для воинов дороги по коммутируемому подключению через VPN.
Будет ли один из вариантов «лучше» другого, во многом зависит от того, что вы на самом деле делаете и чего хотите достичь.