私はとても簡単ですオープンVPNどこに設定するオープンVPNサーバーはコマンドによって開始されopenvpn --ifconfig 10.10.10.1 10.10.10.2 --dev tun、クライアントはコマンドによって開始されますopenvpn --ifconfig 10.10.10.2 10.10.10.1 --dev tun --remote openvpnserver.example.com。
--auth noneHMAC認証を無効にする場合、またはHMAC認証が有効なデフォルト設定を使用している場合、オープンVPNカプセル化されたトラフィックは暗号化されません。しかし、ここで認証とは正確に何を意味しますか?私が知る限りオープンVPNデフォルトでは、パッシブパケットはSHA1アルゴリズムを使用してHMACを介して認証されます。この認証の利点は何ですか?パケットキャプチャ結果のデフォルト設定と--auth none。
ベストアンサー1
暗号化するとデータを読み取ることができません。しかし、誰かがこれを修正できます。暗号化によって自分が何を変更したのか正確にはわかりませんが、リンクで実行されている内容によっては、アプリケーションに大きな災害が発生する可能性があります。
トラフィック分析(パケットサイズとタイミングチェック)は、多くの場合、攻撃者に損傷のための特定のトラフィックをターゲットにするための優れた方法を提供する可能性があります。したがって、攻撃者はそのリンクを介して実行される脆弱な単一のアプリケーションのみをターゲットにする可能性があります。
認証により、このようなことが発生しなくなります。これにより、OpenVPNは誰かがパケットを変調したことを検出し、パケットを破棄して通常再送信を引き起こします。
(認証には制御できないもう1つの意味もあります--auth。TLSモードにあるとき、各エンドポイントは相手を認証して正しい当事者と話していることを確認して暗号化します。これがなければ、次のことができます。事前共有キーモードでは共有キーを配布すると、帯域外で認証が行われます。