OPEN VPN Client Konfigurationsdatei | ARCHER C5400X | TP-Link

[AiMwasNeD]

Tach zusammen 👋

Wie schon im Titel steht, nachfolgend ein Auszug der OPEN VPN Client-Konfigurationsdatei, welche mein Router ARCHER C5400X | TP-Link selbständig auswirft beim exportieren. Ist dieses noch zeitgemäß / sicher?
Zertifikate, DNS & Ports wurden btw entfernt.


client
dev tun
proto tcp
float
nobind
cipher AES-128-CBC
comp-lzo adaptive
resolv-retry infinite
remote-cert-tls server
persist-key
persist-tun
remote XXXXXXX XXXXXXX


<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----

Ehy/
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----
</key>

 

[madmax2010]

Ist dieses noch zeitgemäß / sicher?

wie meinst?

ist halt eine standard openvpn config.

cipher AES-128-CBC

ist ausreichend. Geht "sicherer"? Ja, aber:
AES@256 bit brauchen auch deutlich mehr rechenleistung. Das wird die CPU vermutlich nicht gescheit mitmachen

 

[Fujiyama]

Ob es sicher genug ist hängt auch von dem Nutzungskontext drauf an.

 

[AiMwasNeD]

wie meinst?

ist halt eine standard openvpn config.

ist ausreichend. Geht "sicherer"? Ja, aber:
AES@256 bit brauchen auch deutlich mehr rechenleistung. Das wird die CPU vermutlich nicht gescheit mitmachen

Ob es sicher genug ist hängt auch von dem Nutzungskontext drauf an.

Es kommt beim Verbinden mit dieser config zb. ein WARNING: compression has been used in the past to break encryption. Iwo habe ich aufgefasst dass "comp-lzo" im Grunde nicht mehr wirklich zeitgemäß wäre und auch aus den configs früher oder später verschwinden wird.

Genutzt sollte das ganze auf meinem Laptop werden, um mit dem Firmenserver zu connecten.
Office / Outlook im daily use

 

[Fujiyama]

Was sagt den deine Firmen IT dazu?

 

[Tornhoof]

compression has been used in the past to break encryption.

Konzeptionell ist Komprimierung in Kombination mit Verschlüsselung ein möglicher Angriffsvektor, nannte sich u.a BREACH und/oder CRIME.
https://en.wikipedia.org/wiki/BREACH

Ist aber praktisch überall mitigiert und mir sind keine Schwachstellen bei OpenVPN dazu bekannt.

 

[_anonymous0815_]

Kompression ist pfui, genauso wie TCP,
Ich hänge Dir mal meine relativ aktuelle Config an, dann sieht man ggf. besser die Unterschiede:

Spoiler: server.conf

port 1194

mode server #Server Config

proto udp4 #UDP über IPv4

dev tun

user nobody #tritt erhöhte Nutzerrechte nach Start ab
group nogroup

server 172.16.0.0 255.255.255.0 #Subnetz des VPN-Netzes
topology subnet

push "dhcp-option DNS 192.168.178.10" #Übergabe eines DHCP-Servers
push "route 192.168.178.0 255.255.255.0"
push "redirect-gateway def1" #leite kompletten Traffic des Clients über VPN

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/debian-vpn.crt
key /etc/openvpn/server/debian-vpn.key  # This file should be kept secret

dh /etc/openvpn/server/dh.pem #Diffie-Hellmann kann durch elliptische Kurven ersetzt werden (ist nicht mehr ganz aktuell)

remote-cert-tls client
verify-client-cert require
tls-version-min 1.3
auth SHA256
tls-crypt /etc/openvpn/server/ta.key
tls-ciphersuites TLS_AES_128_GCM_SHA256
cipher AES-128-GCM #aktuelle und noch sichere Verschlüsselung, in Verbindung mit auth SHA256 verwenden
tls-server

client-to-client #Clients können sich untereinander erreichen

keepalive 10 20
persist-key
persist-tun

log /etc/openvpn/openvpn.log #optionale Logs
verb 3

 

[AiMwasNeD]

Herzlichen Dank für den Input soweit! Werde mich in die Thematik jetzt mal etwas mehr reinlesen.

Was sagt den deine Firmen IT dazu?

Ist ein relativ kleines Unternehmen, ich bin quasi die Firmen IT xD
Darum wollte ich mir eben hier Meinungen einholen bevor damit gearbeitet wird.

Kompression ist pfui, genauso wie TCP,
Ich hänge Dir mal meine relativ aktuelle Config an, dann sieht man ggf. besser die Unterschiede:

Danke fürs anhängen einer aktuellen Config! Ähnelt grundsätzlich der, welche derzeit noch auf unseren WinServer läuft. Der Server sollte aber bei Zeiten aufgelöst und durch etwas anderes (ev. NAS, noch nicht sicher) ersetzt werden.

Und wenn der Router einen VPN Server bietet warum nicht auch nutzen? Wäre das VPN Thema zumindest mal vom Tisch,...... So war zumindest der Grundgedanke. Die Configs sind halt leider kaum bis gar nicht anpassbar.

Auf UDP switchen wäre jedoch kein Problem.
Und Kompression auf "adaptive" ist für mich stark relativ. Wird diese dann genutzt oder nicht?

Alles in allem, wäre es grob fahrlässig damit zu arbeiten?

 

[_anonymous0815_]

Alles in allem, wäre es grob fahrlässig damit zu arbeiten?

Aufgrund der Sicherheitdlücke bei Kompression vermutlich schon.