OpenVPN #1: Beter beveiligen

[PatrickMarq]

Je kan nog één stapje verder gaan op je openVPN te beveiligen, het idee hierachter is als iemand nu je certificaat te pakken krijgt kan hij inloggen. in onderstaand voorbeeld zou een 'hacker' die je certificaat heeft een VPN tunnel kunnen opbouwen maar kan dan verder niets doen.
Tevens kan je indien er verschillende lan's / IP ranges zijn deze ook nog verder beveiligen, en het is ook mogelijk om elke client een vast IP adres te geven, dat je ook nog zou kunnen gebruiken in een firewall.

Je gebruikt de CCD opties in de openvpn server config file
client-config-dir ccd

Hierna moet je een file aanmaken met exact dezelfde naam als de commonname die gebruikt is in je certificaat en voeg je de IP range toe die deze client mag gebruiken
iroute 192.168.4.0 255.255.255.0

Het IP adres voor de client
ifconfig-push 10.8.2.5 10.8.2.6

[Pippin]

Je kan nog één stapje verder gaan op je openVPN te beveiligen, het idee hierachter is als iemand nu je certificaat te pakken krijgt kan hij inloggen.

Hij zal ook nog op DSM of actieve services/packages moeten inloggen en krijgt vervolgens de rechten van de gebruiker waarmee hij inlogt. Zie niet zo goed wat de extra beveiliging dan is?

In onderstaand voorbeeld zou een 'hacker' die je certificaat heeft een VPN tunnel kunnen opbouwen maar kan dan verder niets doen.

Zie bovenstaande, ligt eraan welke rechten de gecompromitteerde gebruiker heeft..... of ik begrijp het verkeerd.

Je gebruikt de CCD opties in de openvpn server config file
client-config-dir ccd
Hierna moet je een file aanmaken met exact dezelfde naam als de commonname die gebruikt is in je certificaat en voeg je de IP range toe die deze client mag gebruiken
iroute 192.168.4.0 255.255.255.0
Het IP adres voor de client
ifconfig-push 10.8.2.5 10.8.2.6

Dat is mogelijk op de NAS , ik doe dat namelijk zelf ook zo.
Het is echter niet zo eenvoudig als je hier schrijft, er moet wat meer gebeuren om dat op de NAS werkend te krijgen.


We hebben het over een Synology NAS en om nog het veiliger te maken zou men kunnen doen wat ik tegenwoordig doe.
Voor wat betreft de certificaten doe ik in grote lijnen wat in de handleiding beschreven staat (zie onderaan) maar voor de toegang van gebruikers tot OpenVPN heb ik het anders gedaan. Ik heb niet meer per gebruiker het recht op OpenVPN ingesteld maar werk met een "globale OpenVPN gebruiker".
Dat "truukje" kun je dus al zo toepassen, zonder deze handleiding, en verhoogt de veiligheid aanzienlijk.

Eigenlijk heel simpel:
1. Geef geen enkele "normale" gebruiker het recht op OpenVPN.
2. Maak één gebruiker aan en ontneem deze alle rechten in DSM en packages behalve OpenVPN.
3. Geef alle gebruikers de inlog gegevens van de OpenVPN gebruiker.

Deze OpenVPN gebruiker dient dus slechts om een verbinding op te bouwen.
Nadat de verbinding opgebouwd is kan elke gebruiker op de NAS inloggen met zijn eigen inlog gegevens en krijgt vervolgens de rechten zoals deze die heeft in DSM.
Dat betekent dus dat als de OpenVPN gebruiker gecompromitteerd raakt hij nog steeds niets kan want hij zal ook nog de inlog gegevens van een "normale" gebruiker moeten hebben.


Als je veel gebruikers hebt kun je dus een policy bedenken en met twee of meer OpenVPN gebruikers werken.
Het voordeel wordt in dat geval, dat als een betreffend OpenVPN account gecompromitteerd raakt je niet alle gebruikers nieuwe gegevens hoeft te verschaffen.
Een tweede voordeel is dat je niet veel certificaten hoeft te maken/onderhouden.

Ik heb zelf slechts drie actieve en twee passieve gebruikers dus ik heb nog maar twee certificaten.
Met actief bedoel ik dat ze zich verplaatsen en passieve zijn apparaten die 24/7 eraan hangen.

Voor wat betreft de certificaten doe ik in grote lijnen wat in de handleiding beschreven staat

Als verheldering hierop:
Ik heb twee CA`s gemaakt, één voor de server en één voor de clients.
Dit als een extra verdediging tegen een Man In The Middle attack.

Overkill? Misschien ja, het is ook gewoon leuk om mee te spelen 

[Pippin]

Nieuwe versie van 2.3.10:

New OpenVPN Windows installers have been released.
The I003 and I604 installers bundle OpenSSL 1.0.1t which fixes some security vulnerabilities.
The I604 installers also bundle a new tap-windows6 driver (9.21.2) which has dual authenticode signatures (SHA1/SHA2) for the best possible compatibility across Windows versions (Vista -> Windows 10).
In addition, the 9.21.2 driver fixes a security vulnerability which, however, required local admin rights to be exploitable.
OpenVPN-GUI has also seen minor changes.

Download

[Pippin]

Om DNS leaks in Windows 8 en hoger tegen te gaan heb ik een nieuwe aangepaste openvpn-client.zip geplaatst.
Deze twee instellingen zijn toegevoegd,

Code: [Selecteer]

block-outside-dns
register-dnsen hebben verder geen invloed op andere besturingssystemen.

[Pippin]

Wederom een nieuwe versie 2.3.11:

Download

Gert Doering (1):
      Preparing for release v2.3.11 (ChangeLog, version.m4)

James Yonan (1):
      Fixed port-share bug with DoS potential

Jens Neuhalfen (2):
      Make intent of utun device name validation clear
      Fix buffer overflow by user supplied data

Leonardo Basilio (1):
      Correctly report TCP connection timeout on windows.

Lev Stipakov (1):
      Report Windows bitness

Michael McConville (1):
      Fix undefined signed shift overflow

Niels Ole Salscheider (1):
      Fix build with libressl

Samuli Seppänen (1):
      Improve LZO, PAM and OpenSSL documentation

Selva Nair (2):
      Ensure input read using systemd-ask-password is null terminated
      Support reading the challenge-response from console

Steffan Karger (10):
      openssl: improve logging
      polarssl: improve logging
      Update manpage: OpenSSL might also need /dev/urandom inside chroot
      socks.c: fix check on get_user_pass() return value(s)
      Fix OCSP_check.sh
      hardening: add safe FD_SET() wrapper openvpn_fd_set()
      Fix memory leak in argv_extract_cmd_name()
      Replace MSG_TEST() macro for static inline msg_test()
      Restrict default TLS cipher list
      Various Changes.rst fixes

ValdikSS (3):
      Clarify mssfix documentation
      Clarify --block-outside-dns documentation
      Update --block-outside-dns to work on Windows Vista

[Edgarfcm]

Zojuist getest op een 713+ en het werkt perfect. 
Super bedankt voor deze complete handleiding die de verbinding nog veiliger maakt. 

[Pippin]

En ook bedankt voor de melding

[TopGear_1542]

Wat een goed topic!! Dankjewel voor al het werk wat je er in hebt gestoken en alle plezier die ik en andere gebruikers hiervan beleven.

Bij mij werkt het geweldig. Een niet onbelangrijk punt. Zodra ik verbinding heb, heb ik geen internet? Ook kan ik apparaten op mijn LAN niet benaderen. Terwijl ik de functie "clients toegang geven tot LAN" wel aangevinkt heb.

Ik gebruik IOS i.c.m. DS215J met DSM 6.0.1-7393 Update 2.

Wat kan de oorzaak zijn?

[Birdy]

Is 192.168.168.1 wel goed ?
Wat is b.v. het adres van je NAS ?
Wat is de range van je DHCP ?

[TopGear_1542]

Dat is precies waar ik aan getwijfeld heb. De range van mijn DHCP is 192.168.193.x. Maar ik heb eerder ook OpenVPN gebruikt met IP adressen in standaard range. Zoals deze wordt uitgeleverd door Synology. Ik geloof dat die adressen beginnen met 10.8.0.1. Daar heb ik eerder wel internet mee gehad. Dat zou dan toch ook niet kunnen?

[Birdy]

Nu zit je VPN in het verkeerde subnet, vandaar dat niets werkt.
Pak een adres buiten je DHCP range en zorg ervoor dat je +5 (max aantal verbindingen) kunt uitgeven vanuit de VPN Server.

[Birdy]

En.....zorg ervoor dat je geen vast IP-adres gebruikt die NIET in de DHCP range zit.

[Pippin]

Graag gedaan 

Mogelijke oorzaken:

1.
Zorg ervoor dat de volgende drie subnetten niet conflicteren:
1e. LAN 192.168.193.0/24
2e. Tunnel 192.168.168.0/24
3e. Dit subnet heb je geen invloed op, dat is het subnet van waaruit je verbind met je iOS, dat leid automatisch naar 2.

2.
3e heeft dan tot gevolg dat je niet vanuit je LAN kunt verbinden want dan voldoe je niet meer aan die drie regels.
Gebruik je telefoon, schakel WiFi uit, dan via 3/4G verbinden.

Er kunnen meer oorzaken zijn maar wat betreft de NAS zou het goed moeten zijn.
Op DSM 6 weet ik niet of je iets in de Firewall moet doen want DSM 6 draai ik niet.

Apple producten heb ik niet maar over het algemeen lees ik dat daar de meeste probleempjes mee zijn als het over OpenVPN gaat.
Oorzaak is mijn inziens dat ze graag afwijken van wat hoort te zijn i.g.v. OpenVPN
B.v. door instellingen die in de *.ovpn staan te negeren.....

Staat er iets in het log van de OpenVPN app in iOS?

[TopGear_1542]

Ik heb een aantal combinaties geprobeerd. Helaas tot op heden zonder succes.

In openvpn.conf staan onderstaande adressen:

push "route 192.168.193.0 255.255.255.0"
push "route 192.168.168.0 255.255.255.0"
dev tun

management 127.0.0.1 1195

server 192.168.168.0 255.255.255.0

en

max-clients 5

In openvpn.conf.user staan volgende adressen:

server 192.168.168.0 255.255.255.0 ### IP vervangen door regel uit openvpn.conf

push "route 192.168.193.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Local LAN van DS)

push "route 192.168.168.0 255.255.255.0" ### IP vervangen door regel uit openvpn.conf (Dynamisch IP/tunnel)

max-clients 5 ### 5 vervangen door het nummer uit openvpn.conf

In OpenVPN op IOS krijg ik IP-adres 192.168.168.6 toegewezen. Ik heb geen vast IP adres anders dan voor mijn NAS ingesteld.

Toch geen internetverbinding. Haal ik IP 1,2 en 3 zoals je die aangeeft nu door elkaar?

Het log geeft geen foutmeldingen of andere nuttige informatie. Overigens gebruik ik wel inline certificaten. Maar ik zie niet hoe dat van invloed kan zijn.

[Pippin]

Als er iets met de certificaten mis is op welke manier dan ook krijg je überhaupt geen verbinding, dat is het dus niet.

De subnetten is ook niets mis mee.
Je verbindt wel vanuit 3/4G toch? Met WiFi uit?

Aan de server zijde lijkt dus alles in orde.

Als je een Android hebt probeer het daar eens mee.

Of als je een PC of Laptop hebt, installeer dan daar OpenVPN op.
Zet dan de hotspot aan op je iOS.
Verbindt vervolgens naar de iOS hotspot met je PC/Laptop en dan naar je VPN.

Als dat wel lukt zit het hem ergens in iOS.