OpenVPN'de neden `--duplicate-cn` önerilmiyor?

24

Bu, güvenlik nedeniyle mi yoksa performans nedeniyle mi?

openvpn 
Cheng
kaynak

Yanıtlar:

12

Güvenlik sebebi.

--Duplicate-cn ile aynı ortak ada sahip iki bağlantıya izin verilir, böylece bir sertifika birden fazla bağlantı / kullanıcı tarafından kullanılabilir.

--Duplicate-cn olmadan, her vpn sertifikası kendi CN'sine sahip olmalıdır, bu nedenle her bağlantı / kullanıcı benzersiz bir sertifikaya sahiptir.

sntg
kaynak
3
Keşke bunu reddedebilseydim ... soruyu cevaplamaz ve yan etkileri sadece kısmen açıklar.
Richard
1
"Neden" cevabını vermediniz.
Warvariuc
45

Aslında bu sebeplerden ikisi de değil. Bu iki seçenekten biri olması gerekiyorsa, bunun güvenlik olduğunu iddia edebilirsiniz. Ancak, sadece duplicate-cn kullanmak VPN'inizi daha az güvenli hale getirmez. Bilmemin iki nedeni var. Birincisi, VPN'de kimlik doğrulamak için kullanılan kimlik bilgilerinin yönetilmesiyle ilgili bir endişedir - birçok müşteri aynı sertifikayı kullanıyorsa, o zaman bu sertifikayı iptal etmek, onu kullanan veya istemeyebilecek olan tüm istemciler için erişimi iptal eder. Ayrıca, bir müşteri cihazının dolaşım yapması ve çeşitli genel adreslerden bağlantılar başlatması yaygındır; bu durumlarda, bu cihazın, dolaşımda olmasına rağmen, dolaşımda olmasına rağmen, VPN'de aynı adresi tutması daha muhtemeldir. Her istemci sertifikası için birden fazla bağlantı yok.

Duplicate-cn için geçerli bir kullanım durumu, müşteri cihazlarınızın dolaşımda olmadığı ve erişimi müşteri bazında kontrol etmeyi umursamadığınız ve yüksek önceliğinizin anahtarları ve sertifikaları yönetmek için fazla zaman harcamaması olabilir. Tavsiyelerinin temeli bu tür davaların azınlıkta olduğu ve çoğu insanın güvenliği anlamadığı, PKI tabanlı güvenliği daha az olduğu ve bu insanlar için suları çamurlamak istemedikleri gerçeğine inanıyorum.

Demir Kurtarıcı
kaynak
5
Bu kabul edilen cevap olmalı.
15’de
5
Duplicate-cn kullanmamızın sebebi, bir kullanıcının mobil ve dizüstü için aynı sertifikaya sahip olması olabilir. Ayrıca unifiy'in bu kullanıcının yönetimi. Neden uyarı aldığımı bilmeme rağmenWARNING: using --duplicate-cn and --client-config-dir together is probably not what you want
Christian
2

Bence yinelenen cn ve client-config-dir komutunun birlikte önerilmesinin nedeni, belirli bir kullanıcının statik bir IP ile bir yapılandırması varsa ve aynı anda birden fazla cihazdan bağlanması durumunda ortaya çıkabilecek sorunlardan kaynaklanıyor. Bu durumda işler iyi çalışmayacak. Birden fazla bağlantı kullanıcısı client-config-dir statik IP'lerine sahip olmadığı sürece, bir sorun olmamalıdır.

user389695
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.