Eine Frage zum Verständnis von openvpn:
Ich nehme an, dass jeder Kunde von PP die gleichen Config-Files hat. Sodann wäre das einzige Unterscheidungsmerkmal der Username und das zugehörige Passwort.
Ich hoffe, dass ist soweit korrekt?
Meine Frage: Wenn nun ein Angreifer in den Besitz von Username+Passwort käme, welche Folgen hätte dies für die Sicherheit?
Soweit ich es verstehe sind doch Username+Passwort nur für die Authentication zuständig, also ob die Person berechtigt ist den Service von PP zu nutzen, oder ?! Die Schlüssel die zur Verschlüsselung (AES 256) des nun folgenden Datenverkehrs verwendet werden, und die sicherheitsrelevant sind, werden dann erst zwischen Client und Server im Public-Key-Verfahren (4096 Bits) gesichert ausgehandelt - und zwar bei jeder openvpn-Verbindung neu und zufällig. Und wenn ich mich nun nicht ganz irre, werden sie dann sogar noch alle 60 Minuten bei einer bestehenden openvpn-Verbindung geändert bzw. erneuert?
Kurzum: Sind obige Ausführungen korrekt und dienen Username+Passwort "nur" der Authentication, oder wie schauts damit aus
?
Danke für alle hilfreichen Antworten,
Cobinder
Ich nehme an, dass jeder Kunde von PP die gleichen Config-Files hat. Sodann wäre das einzige Unterscheidungsmerkmal der Username und das zugehörige Passwort.
Ich hoffe, dass ist soweit korrekt?
Meine Frage: Wenn nun ein Angreifer in den Besitz von Username+Passwort käme, welche Folgen hätte dies für die Sicherheit?
Soweit ich es verstehe sind doch Username+Passwort nur für die Authentication zuständig, also ob die Person berechtigt ist den Service von PP zu nutzen, oder ?! Die Schlüssel die zur Verschlüsselung (AES 256) des nun folgenden Datenverkehrs verwendet werden, und die sicherheitsrelevant sind, werden dann erst zwischen Client und Server im Public-Key-Verfahren (4096 Bits) gesichert ausgehandelt - und zwar bei jeder openvpn-Verbindung neu und zufällig. Und wenn ich mich nun nicht ganz irre, werden sie dann sogar noch alle 60 Minuten bei einer bestehenden openvpn-Verbindung geändert bzw. erneuert?
Kurzum: Sind obige Ausführungen korrekt und dienen Username+Passwort "nur" der Authentication, oder wie schauts damit aus
?Danke für alle hilfreichen Antworten,
Cobinder
