OpenVPNのセキュリティの強化

2015.02.08

OpenVPNのセキュリティを強化すると次のような攻撃や問題に対処できます。

  • OpenVPN UDPポートに対するDoSアタックなどの攻撃
  • リッスン中のサーバーのUTPポートを特定するためのポートスキャン
  • SSL/TLS実装上のバッファオーバーフローの脆弱性
  • 認証されていないマシンからのSSL/TLSハンドシェイクの開始(いずれにしても最終的には認証に失敗することになりますが、tls-authを使えばさらに前のポイントで切り捨てることができます)

tls-authを使用するために共有静的鍵を生成しておきます。
次のコマンドでOpenVPNの静的鍵が生成され、ファイルta.keyに書き込まれます。

openvpn --genkey --secret ta.key

生成されたta.keyをopenvpnのディレクトリに移動します。

cp ta.key /etc/openvpn/

コメント

タイトルとURLをコピーしました