Toon posts:

Is OpenVPN wel veilig?

Pagina: 1
Acties:

zaterdag 1 juli 2017 15:59

Acties:
  • 0 Henk 'm!
  • ASS-Ware
  • Registratie: Februari 2007
  • Laatst online: 23:37

ASS-Ware

Topicstarter
Ik maak me zorgen over de veiligheid van OpenVPN, hetzij de client op mijn iPhone, hetzij de server op mijn Synology NAS, maar misschien kan iemand mij vertellen dat ik het mis heb.

Mijn NAS is bereikbaar op cloud.domein1.nl, de client op mijn iPhone connect met cloud.domein1.nl, ik heb een Let's Encrypt certificaat voor cloud.domein1.nl op mijn NAS en deze is geconfigureerd om door de VPN server te gebruiken.
Dat werkt prima.

Nu wijzig ik de client, ik ga connecten op cloud.domein2.nl, welke naar hetzelfde IP adres verwijst als cloud.domein1.nl.
Dat werkt ook prima ... hoewel ik dat niet zou verwachten.

Dat betekent dus dat als ik een publiek Wifi netwerk zou gebruiken en de eigenaar daarvan geeft mij een vals IP adres voor cloud.domein2.nl, dat mijn VPN verkeer naar een andere OpenVPN server geredirect kan worden.
De fqdn waarmee ik wil connecten staat niet in het certificaat, daar wordt dus niet op gecontroleerd.

Heb ik het enorm fout?

Even een stukje uit de log van de client:

2017-07-01 15:31:02 ----- OpenVPN Start -----
OpenVPN core 3.1.2 ios arm64 64-bit built on Dec 5 2016 12:50:25
2017-07-01 15:31:02 Frame=512/2048/512 mssfix-ctrl=1250
2017-07-01 15:31:02 UNUSED OPTIONS
1 [tls-client]
5 [pull]
7 [script-security] [2]

2017-07-01 15:31:02 EVENT: RESOLVE
2017-07-01 15:31:02 Contacting 1.2.3.4:444 via TCP
2017-07-01 15:31:02 EVENT: WAIT
2017-07-01 15:31:02 SetTunnelSocket returned 1
2017-07-01 15:31:02 Connecting to [cloud.domein2.nl]:444 (1.2.3.4) via TCPv4
2017-07-01 15:31:02 EVENT: CONNECTING
2017-07-01 15:31:02 Tunnel Options:V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,cipher AES-256-CBC,auth SHA1,keysize 256,key-method 2,tls-client
2017-07-01 15:31:02 Creds: Username/Password
2017-07-01 15:31:02 Peer Info:
IV_GUI_VER=net.openvpn.connect.ios 1.1.1-212
IV_VER=3.1.2
IV_PLAT=ios
IV_NCP=2
IV_TCPNL=1
IV_PROTO=2
IV_LZO=1

2017-07-01 15:31:02 VERIFY OK: depth=1
cert. version : 3
issuer name : O=Digital Signature Trust Co., CN=DST Root CA X3
subject name : C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
issued on : 2016-03-17 16:40:46
expires on : 2021-03-17 16:40:46
signed using : RSA with SHA-256
RSA key size : 2048 bits
basic constraints : CA=true, max_pathlen=0
key usage : Digital Signature, Key Cert Sign, CRL Sign

2017-07-01 15:31:02 VERIFY OK: depth=0
cert. version : 3
issuer name : C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
subject name : CN=cloud.domein1.nl
issued on : 2017-05-03 11:27:00
expires on : 2017-08-01 11:27:00
signed using : RSA with SHA-256
RSA key size : 2048 bits
basic constraints : CA=false
subject alt name : cloud.domein1.nl
key usage : Digital Signature, Key Encipherment
ext key usage : TLS Web Server Authentication, TLS Web Client Authentication

2017-07-01 15:31:02 NET Internet:ReachableViaWiFi/-R t------
2017-07-01 15:31:04 SSL Handshake: TLSv1.2/TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
2017-07-01 15:31:04 Session is ACTIVE
2017-07-01 15:31:04 EVENT: GET_CONFIG
2017-07-01 15:31:04 Sending PUSH_REQUEST to server...
2017-07-01 15:31:04 OPTIONS:
0 [redirect-gateway] [def1]
1 [dhcp-option] [DNS] [192.168.1.100]
2 [route] [192.168.1.0] [255.255.255.0]
3 [route] [10.8.0.0] [255.255.255.0]
4 [route] [10.8.0.1]
5 [topology] [net30]
6 [ping] [10]
7 [ping-restart] [60]
8 [ifconfig] [10.8.0.6] [10.8.0.5]

2017-07-01 15:31:04 PROTOCOL OPTIONS:
cipher: AES-256-CBC
digest: SHA1
compress: LZO
peer ID: -1
2017-07-01 15:31:04 EVENT: ASSIGN_IP
2017-07-01 15:31:04 Connected via tun
2017-07-01 15:31:04 LZO-ASYM init swap=0 asym=0
2017-07-01 15:31:04 EVENT: CONNECTED userid@cloud.domein2.nl:444 (1.2.3.4) via /TCPv4 on tun/10.8.0.6/ gw=[10.8.0.5/]
2017-07-01 15:31:04 SetStatus Connected

zaterdag 1 juli 2017 16:23

Acties:
  • 0 Henk 'm!
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Da's wel erg bijzonder ja. Maar lijkt me haast niet kunnen? :o Want zou wel heel erg raar zijn mijns inziens :X

zaterdag 1 juli 2017 19:33

Acties:
  • 0 Henk 'm!
  • ASS-Ware
  • Registratie: Februari 2007
  • Laatst online: 23:37

ASS-Ware

Topicstarter
Je mag het raar noemen, maar de logfile liegt niet.
En ik ook niet ;-)

De reactie van Synology:

Thank you for contacting Synology support.

It should be a normal behavior if the domain name is assigned to the IP address of NAS and the setting of OpenVPN is imported into the client, which means the connection should be created.

As a suggestion please refer to the link below tutorial about how to add extra security to your Synology NAS:

https://www.synology.com/...rity_to_your_Synology_NAS

[ Voor 77% gewijzigd door ASS-Ware op 02-07-2017 16:02 ]

maandag 3 juli 2017 09:39

Acties:
  • 0 Henk 'm!
  • jordje
  • Registratie: April 2013
  • Laatst online: 09:23

jordje

Volgens mij gebruik je bij OpenVPN op een Synology alleen een gebruikersnaam en wachtwoord om verbinding te maken toch? Ik weet dat je met certificaat-authenticatie hier geen last van hebt, maar helaas is de OpenVPN implementatie van Synology vrij mank.

Ik heb ooit eens voor iemand geprobeerd dit fatsoenlijk aan de praat te krijgen met behulp van dit topic, maar heb het uiteindelijk opgegeven en een docker container geïnstalleerd. (Als je dit uiteindelijk ook gaat doen kan ik SoftEther VPN aanbevelen. Die is veel makkelijker in te stellen en biedt wel gewoon server certificate verification, ook zonder client-certificate)

maandag 3 juli 2017 22:16

Acties:
  • +2 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 23:38

Thralas

ASS-Ware schreef op zaterdag 1 juli 2017 @ 15:59:
Nu wijzig ik de client, ik ga connecten op cloud.domein2.nl, welke naar hetzelfde IP adres verwijst als cloud.domein1.nl.
Dat werkt ook prima ... hoewel ik dat niet zou verwachten.
Begrijpelijk. Dat is immers hoe een browser werkt.

OpenVPN werkt echter anders, omdat het uitgangspunt is dat je de CA zelf in handen hebt en dus controle hebt over wie een validate servercertficaat kan uitgeven.
De fqdn waarmee ik wil connecten staat niet in het certificaat, daar wordt dus niet op gecontroleerd.
OpenVPN voert die check inderdaad niet uit, zoals je al vast hebt gesteld.

Wat er sowieso altijd gebeurt is dat er word gecontroleerd of het server certficate gesigned is door de opgegeven root (Let's Encrypt in jouw geval). Dat is niet voldoende, want iedereen kan daar een (geldig) certificaat regelen.

Als je besluit OpenVPN met een publieke CA te gebruiken (foutgevoeliger) dan moet je verify-x509-name specificeren op de client om de CN te controleren. Doe je dat niet, dan weet je nooit zeker of je wel met de juiste server praat.

maandag 3 juli 2017 22:23

Acties:
  • 0 Henk 'm!
  • johnkeates
  • Registratie: Februari 2008
  • Laatst online: 04-07 16:30

johnkeates

Je HTTP server met SSL of TLS heeft geen donder te maken met OpenVPN. Hoe jij verbinding maakt heeft voornamelijk te maken met je instellingen. Wat je kan doen om het veilig te maken:

- Certificaat met CA gebruiken
- TLS packet key maken
- Username + Password gebruiken
- TOTP gebruiken

Wat normaal gebeurt is dat jij en de server een CA gebruiken, je server en je client een certificaat hebben dat door die CA ondertekend is, waarna je dus zolang je maar verbinding kan maken met je server elkaar kan controleren. Dus als je via een DNS naam, IP of NAT of tunnel verbinding maakt (OpenVPN via L2TP bijv. als je dat leuk vind) en je host of client adres lekker random is zou dat niks uit moeten maken om dat een adres sowieso geen garantie is waar je mee verbonden bent, dubbele asymmetrische encryptie en ondertekening is dat wel. (Dus PKI met shared CA en user cert + server cert)

maandag 3 juli 2017 22:26

Acties:
  • 0 Henk 'm!
  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 20:24

jeroen3

OpenVPN geeft met de default Synology config ook een warning dat er:
1. Passwords worden gecached.
2. Het certificaat niet gecontroleerd wordt.

Het is op zijn minst beter dan pptp, wat iPhones ook niet meer ondersteunen.

code:
1
2

WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

[ Voor 35% gewijzigd door jeroen3 op 03-07-2017 22:31 ]

maandag 3 juli 2017 23:22

Acties:
  • 0 Henk 'm!
  • vso
  • Registratie: Augustus 2001
  • Niet online

vso

tja...

was er niet laatst een cve gepost over openvpn ?
https://www.cvedetails.co...ndor_id-3278/Openvpn.html

[ Voor 43% gewijzigd door vso op 03-07-2017 23:23 ]

Tja vanalles

dinsdag 4 juli 2017 15:50

Acties:
  • 0 Henk 'm!
  • ASS-Ware
  • Registratie: Februari 2007
  • Laatst online: 23:37

ASS-Ware

Topicstarter
Dank allen.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq