vitus_wagner: My photo 2005 (Default)
vitus_wagner ([personal profile] vitus_wagner) wrote2024-06-25 09:00 pm
  • Add Memory
  • Share This Entry
Entry tags:

Про SSTP

Поисследовал немножко вопрос перевода своей VPN с openvpn на sstp. sstp это фактически ppp over tls. То есть отличить это от веб-траффика существенно менее реально. Правда, наиболее распространенной реализацией sstp-сервера пол linux является softether на который у меня аллергия. Он какой-то цисковский по всей идеологии. а не юниксовый.

Правда, существует еще sstpd. Но он вообще на питоне написан. Зато, правда. заточен на работу за полноценным веб-сервером в качестве frontend-proxy.

Кроме этого вопроса с реализациями у SSTP есть проблема с аутентификацией Почему-то не поддерживается в sstpc аутентификация по клиентским сертификатам. Хотя вроде у микрософта в RAS она была. А тут вся аутентификация спихнута на pppd. А в пароли я как-то не верю в наше время. Даже в CHAP.

Upd Оказывается, в linux-овом pppd версии 2.4.9 и выше поддержка EAP-TLS, в том числе и с использованием аппаратных токенгов все же есть. Правда. исключительно хреново документирована.

Flat | Top-Level Comments Only

[personal profile] borisk 2024-06-25 10:56 pm (UTC)(link)
Fortinet сделали работу с SAML в этом протоколе. Так что можно отдавать вместо пароля session cookie
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2024-06-26 04:06 am (UTC)(link)

А толку? Вопрос ведь не в том, что отдается по каналу связи, а в том что хранится на сервере.

[personal profile] borisk 2024-06-26 04:20 am (UTC)(link)
Когда на шлюзе VPN стоит только SAML SP, «на сервере» пользовательской информации нет, она вся на SAML IdP.

Проблема с SAML решениями общая со всеми Web штуками — воровство session cookie на клиенте.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2024-06-26 04:37 am (UTC)(link)

Вот чтобы не было воровства аутентификационных токенов на клиенте, надо авторизовываться по ключам, а секретные ключи хранить на аппаратном токене. Тогда чтобы спереть ключ, нужно будет железяку спереть. Физически.

openvpn так может, ssh твк может, микрософтовская реализация SSTP тоже может. А свободные даже не пытаются.

Ну и с session cookiie тоже есть определенные проблемы. Для VPN понятие session как-то не определено. Да и http у нас session less. Поэтому устаревание session cookie это примерно такой же security theater как насильственная смена пароля раз в две недели.

Что касвется разнесения хранилизща авторизационной информации и шлюда VPN по разным устройством, то это да, у данной защитной меры есть своей use case. Но у меня-то не коропоративная сеть. Стоит одна виртуалка в провайдерском датацентре, а все остальные - ее клиенты. Поэтому разнесение авторизационной БД и VPN-сервера по разным процессам в этой виртуалке вряд ли поможет. Хотя ... если засунуть vpn-сервер в chroot, и отобрать у него все привилелгии кроме CAP_NET_ADMIN и CAP_NET_RAW...

[personal profile] borisk 2024-06-26 06:22 am (UTC)(link)
Можно и так.
Flat | Top-Level Comments Only