[MASOCH-L] OpenVPN para acesso aos clientes

[Leonardo Rodrigues]

On 14/05/15 09:21, Vinícius Fontes wrote:
> Tenho conhecimento técnico para implementar esta solução, mas gostaria da
> opinião dos colegas (que tem muito mais conhecimento e experiência do que
> eu). Isso é uma boa idéia? Existe algum problema nessa solução que não
> estou enxergando? Um problema que pensei seria o servidor do cliente ser
> comprometido, e isso ser um vetor de ataques à minha rede, mas creio que
> isso pode ser mitigado por regras de firewall.
>
     Ótima idéia e, com poucas observações, torna-se uma solução 
imbatível e bastante segura. Tenho algo parecido rodando hoje em dia sem 
grandes problemas.

1) use o OpenVPN em modo TLS, gere 1 certificado pra cada servidor que 
você precisa acesso, já que assim você pode revogar certificados 
individualmente e não se preocupar com que suas chaves (no caso de uma 
VPN de chave estática, por exemplo) vaze;
2) não use a dobradinha "server" e "ifconfig-pool-persist" para 
distribuir IPs pros seus clientes (seus servidores), já que essa solução 
não garante que cada cliente vai receber sempre o mesmo IP. Use 
"ccd-exclusive" e um arquivo de configuração por certificado (= por 
servidor) com um "ifconfig-push". Assim você tem certeza que cada 
certificado, quando conectado, vai receber sempre o mesmo IP
3) regras de firewall conseguem evitar o tráfego originado do cliente 
pra sua rede, essa é fácil
4) pra dificultar a vida de algum atacante, um "tls-auth" vai sempre bem !
5) não esqueça de ajustar o max-clients de acordo com a quantidade de 
clientes (servidores) que irão usar a solução


     o que me vem à cabeça é isso ...




-- 


	Atenciosamente / Sincerily,
	Leonardo Rodrigues
	Solutti Tecnologia
	http://www.solutti.com.br

	Minha armadilha de SPAM, NÃO mandem email
	gertrudes at solutti.com.br
	My SPAMTRAP, do not email it