[eside-ghost] OpenVPN 2

[Jose Ignacio Sanchez]

Hola,

Estamos implementando una solucion VPN utilizando la ultima beta de OpenVPN
2.0, y nos encontramos con la necesidad obvia de securizar al maximo el
asunto.

Bajo mi punto de vista el punto mas vulnerable de una solucion VPN es el
cliente que puede conectarse a la misma desde un portatil bajo una red no
confiable. Una vez abierta la VPN el cliente tendra rutas de acceso tanto a
la VPN (la red remota a la que accede) como a la red desde la que conecta, y
por tanto Internet.

Con el fin de evitar que ataquen al cliente desde Internet o desde tu red,
para utilizarlo como pasarela hacia la VPN, muchas soluciones comerciales
cortan toda conexion con la red de area local (y Internet por tanto) una vez
esta abierta la VPN. Como se podria implementar eso con OpenVPN 2?
inyectando una ruta por defecto al arrancar la VPN? no cortaria eso la
propia VPN ya que los paquetes de la misma no saldrian a Internet?

Otra cosa que me nos hemos planteado es la utilizacion de securetokens, o
smartcards adicionalmente al password para usar la VPN. Aktor me comento una
vez la posibilidad de utilizar un pendrive para almacenar la clave privada
del usuario cifrada con la passphrase. Hay posibilidad de utilizar algun
sistema parecido a las tipicas calculadoras que te dan un password
utilizable solo una vez?

Si alguien tiene alguna experiencia en este asunto agradecería alguna
orientacion :)

Un saludo

  Topo[LB]