web-dev-qa-db-ja.com

OpenVPNによる中間者攻撃の警告

openvpn --config /home/xxx/vpnbook-uk1-udp25000.ovpnを使用すると、常に次の警告が表示されます。

2014年2月22日(土)11:16:04 2014警告:サーバー証明書の検証方法が有効になっていません。詳細については、 http://openvpn.net/howto.html#mitm を参照してください。

おそらく、これは この問題を抱えています と関連しています。

この中間者攻撃の警告についてどうすればよいですか?

1
user251046

この場合、クライアントはサーバーを検証していません。中間者攻撃を防ぐには、相互検証が必要です。つまり、サーバーに対して自分自身を認証し(おそらく証明書またはユーザー名とパスワードのいずれかを持っています)、クライアントはサーバーのIDを自動的に検証します。

サーバーを実際に認証するには、特定のアドレスに接続するだけでは不十分です。

これを修正するには、 警告メッセージからリンクされたドキュメント を参照してください。サーバーのIDを検証するには、サーバーの証明書に署名するために使用されたCA証明書が必要です。 VPNサーバーが他の誰かによって管理されている場合は、それらを尋ねる必要があります。適切なCAファイルを取得したら、ca path/to/ca.crtディレクティブを構成ファイルに追加します。


多くの人がこれを言うことを嫌いますが、多くの場合、その警告を修正することは重要ではありません。要するに、VPNを使用する理由です。パブリックWi-Fiを使用するときにプライバシーをほとんど提供しない場合、それは重要ではない可能性が非常に高くなります。 VPNを介して実行するすべてが暗号化されている場合(sshやHTTPSなど)、MitMは迷惑でセキュリティリスクになる可能性がありますが、取引を妨げるものではありません。

高度な機密性と整合性を必要とする何かを行う場合は、特にそのアクティビティが暗号化されていない場合(HTTP、IMAP、telnetなど)、必ず修正する必要があります。

1
Olli