Что нужно злоумышленнику, что получить доступ?

Паяльник.

Утюг.

У клиента комп на БотнетОС, который все ключи сливает хозяину.

Плюсую паяльник и физический доступ.

Кстати, удалённый доступ к системе тоже подойдёт. VPN только от MiM защитит.

Про ТЭНы и физический доступ уже писали, давайте добавим удалённых уязвимостей

Что нужно злоумышленнику

С его стороны интересуешься?

нет, не с его ... со стороны человека, который должен пояснить, где возможные бреши и что можно предпринять для минимизации утечки...

Физическая пытка - это понятно ...

А что может быть удаленной уязвимостью?

Например злоумышленник узнал ip-адрес к которому идет подключение впн.

Он может узнать открытые порты, а дальше... если у него нет ключей? Он будет просто биться и без толку, только логи засорять или же есть средства? Сами средства не очень интересуют, интересно - есть ли такое что-то, чего стоит опасаться и прочая мания что все могут украсть...

Просто понять хочется, идеальный случай взлома, без ключей на руках. а зная только айпишник или вообще его не зная)

ага, как понял - типа кейлогеров...

Следовательно - клиент должен работать только на одном, личном и всегда с собой носимым устройством...*?

Паранойя. но все же ...)

Варианты всегда есть, и их over9000.

Это понятно ...

А где можно посмотреть .. точней так... как правильно спросить у поисковика...?

На предмет чего искать?

Где-то на опеннете был перевод неплохой статьи про безопасность, старой, но до сих пор актуальной.

ага, посмотрю(сначала поищу))....

Спасибо...

Перелогиньтесь тов.

VPN это маркетинг дженериков.

Идеальный злоумышленник: zero-day на openvpn, залетаю в твою сеть, zero-day на хосте и я root. Далее смотря что мне от тебя нужно. Что-то украсть прямо сейчас, немного погодя или просто пользоваться твоими ресурсами. Ставлю kernel level rootkit на все твои машины в сети. Тихо пасу всё это, пока ты в блаженном неведении:)

Любовь и забота. Нежность и человеческое тепло.

Желание.

хм...

Спасибо... )

В кого или во что перелогиниться?))

Если впн маркетинг. то что может быть действительно хорошим решением? Железным - на cisco?

Тебе выше правильно написали - самая большая опасность для openvpn это протрояненная винда на стороне клиента. Отсюда возможное предложение по повышению безопасности - избавление от винды на клиентской стороне.

Я бы рассматривал следующие векторы атаки:

• Физическое воздействие на пользователей сети.
• Направленная атака на компьютеры пользователей сети (трояны и подобное).
• Атака полным перебором на ключ.
• Атака на протокол.
• Атака на реализацию протокола.

протрояненная винда на стороне клиента

Не то чтобы это бывает чаще, но никто не мешает на стороне клиента быть убунте с работающим по дефолтному порту ссш по паролям и аккаунтом user/password. Ничуть не лучше протрояненной винды.

Перебор ключа по паролю, в случае пароля в 10-20 символов (цифры, буквы и допущенные спец символы) такой перебор будет не быстрый и нужно всегда что был доступ к самому к попытке...

А если идет перебор, то не верные попытки сигналят на сервер и он отзывает и временно блокирует этот сертификат....

Или такой метод не будет работать как своеобразная защита?

И атака на протокол, она как работает?

Что считается тут протоколом SSL? или сам туннель? то есть атакап по заведомо слабым местам программы.так?

Ага, трояны, кейлогеры - это понятно...

И вариант с клиентом на не винде тоже есть, но как написали. стоит упустить пользователю как написали ниже:

протрояненная винда на стороне клиента

Не то чтобы это бывает чаще, но никто не мешает на стороне клиента быть убунте с работающим по дефолтному порту ссш по паролям и аккаунтом user/password. Ничуть не лучше протрояненной винды.

Но вариант ене с виндой мне нравится, главное на андроид не перейти)

Хотя если сделать ему шлюз основной через впн, то поидее все попытки отправки будут идти не в инет, а туда где шлюз)

То есть, можно подключить впн, и весь трафик щзавернуть через свой сервер и только впн и работа и нужные сервисы ... такая схема тоже будет дырява на случай заражения? или того же андроида(мне кажется андроиды сами по себе могут выдавать все данные ))

Как злоумышленник может получить доступ к информации внутри OpenVPN?

Например так: http://37.143.13.181:8081/S

ногти рвать советовали?

Что нужно злоумышленнику, что получить доступ?

Взломать тот дырявый китайский роутер, который является openvpn-сервером. И дампить весь трафик.
Воспользоваться очередной дыркой в libssl, благо их каждую неделю находят и далеко не всегда исправляют вовремя.
Ломануть клиента, который скорее всего имеет доступ ко всей сетке. Дампить его трафик и ломать другие хосты участников.
И ещё пачка решений.

что может получить/сделать злоумышленник. получив ключ клиента, у которого доступ только на одну страницу.

OpenVPN очень централизован, даже несмотря на все костыли для связи клиентов напрямую и искусственные ограничения. Любой клиент может попытаться совершить атаку на vpn-сервер изнутри vpn-сети. Для простоты считай что при компрометации абсолютно любого ключа сразу компрометируется вся сетка.

Все описал примерно... Интересно понять, что реально, а что не очень, с точки зрения взлома.

А это всё очень реально, и даже автоматизировано на ботнетах.
OpenVPN — это вообще такое удобное решето, а не защита. OpenVPN — это тот случай, когда лучше передавать коммерческие тайны плейнтекстом, чем привлекать внимание этим vpn'ом.

интересен так же идеальный злоумышленник. чтобы сделал он , и чтобы сделал более реальный, хотя может они теперь и равны)

Твой враг — это ботнет, который отсканит openvpn-порт и начнёт иметь через этот порт всю твою защищенную сетку уже через пару дней после подъёма vpn-сервера. А у твоего клиента с макосью/вендой ключ случайно утечёт в китай.

интересна больше теория, для понимая что меня ждет, если начальство начнет просить увеличивать защиту)

Защита openvpn равна нулю, просто ваша контора пока никому не интересна. Усилить защиту openvpn в два раза — это как умножить два на ноль. Если бы openVPN реально хоть от чего то защищала, то не было бы кучи коммерческих трансконтинентальных vpn-сервисов, не было бы её ежедневных упоминаний в СМИ, не было бы радостных отчетов АНБ о том, что всё vpn на рынке — суть есть полное решето.

И какие меры можно и не можно применять?)

Использовать любые нестандартные решения. port-knocking с клиентов на сервера, geoiptables на vpn-серверах, жесткий fail2ban для всех портов ssh-vpn-и-прочих, snort. Лучше вообще отказаться от openvpn, перейти на cjdns, tinc, etc. Для файлохранилища использовать tahoe-lafs, накодив предварительно webdav-backend, без которого оно не юзабельно.

Ухты ...

Спасибо огромное...

Есть мне теперь над чем подумать и ведь в кое чем я был прав.

Спасибо...

Хм...

Интересно... и даже страшновато)

Но спасибо...

Уважаемый, что за страшные сказочки на ночь?

ботнет, который отсканит openvpn-порт и начнёт иметь через этот порт всю твою защищенную сетку уже через пару дней после подъёма vpn-сервера.

Можно хоть один пример?

Ломануть клиента, который скорее всего имеет доступ ко всей сетке.

Так нормальные люди не делают (в смысле, не дают vpn-клиентам с виндой досуп ко всему intranet'у).

при компрометации абсолютно любого ключа сразу компрометируется вся сетка.

"--ccd-exclusive" + firewall спасёт от большей части вышеперечисленных ужасов. И IDS тоже нужно, да.

Можно и совсем без ключей, только с одним публичным сертификатом CA. По логину и паролю. Например. В большинстве руководств и how-to ключи генерят прямо на взятой аренду VDS или vps. К которой есть доступ не только у тебя. Генерить ключи нужно только на своей машине, желательно без доступа в интернет во время генерации и последующего сохранения.

Человеческий фактор, друг мой. Это реальная проблема. Вам нужно отвественность размазать на несколько человек, чтобы не один человек им руководил.

терморектальный криптоанализ сейчас в некоторых странах очень популярен