DOMANDA OpenVpn è sicuro?

[AleROMA]

ciao a tutti
utilizzo open vpn per connettermi ad un altro computer, volevo sapere se secondo voi è sicuro?

io attualmente scarico il programma da qui

Community Downloads - Open Source VPN | OpenVPN

The OpenVPN community shares the open source OpenVPN. Download the latest version of the open source VPN release OpenVPN 2.6.3 for a secure network.

openvpn.net

ma non c'è un programma "ufficiale" a pagamento?
questo file che scarico neanche si aggiorna automaticamente, devo ogni volta farlo a mano.

grazie, saluti

 

[Moffetta88]

Sì openvpn è sicuro. Non si aggiorna perchè viene usato anche nelle aziende ed in ambiti di produzione, dove gli aggiornamenti automatici non sono ben visti.

 

[ilfe98]

ciao a tutti
utilizzo open vpn per connettermi ad un altro computer, volevo sapere se secondo voi è sicuro?

io attualmente scarico il programma da qui

Community Downloads - Open Source VPN | OpenVPN

The OpenVPN community shares the open source OpenVPN. Download the latest version of the open source VPN release OpenVPN 2.6.3 for a secure network.

openvpn.net

ma non c'è un programma "ufficiale" a pagamento?
questo file che scarico neanche si aggiorna automaticamente, devo ogni volta farlo a mano.

grazie, saluti

Open vpn è sicuro, ma necessita comunque di una buona configurazione di rete per rendere al 100%

 

[AleROMA]

Open vpn è sicuro, ma necessita comunque di una buona configurazione di rete per rendere al 100%

configurazione della rete che ospita? oppure la mia che utilizzo vpn per collegarmi?
grazie

Sì openvpn è sicuro. Non si aggiorna perchè viene usato anche nelle aziende ed in ambiti di produzione, dove gli aggiornamenti automatici non sono ben visti.

ma cmq è meglio aggiornarlo ogni tanto? o va bene tenere anche una versione piu vecchia? sempre per la sicurezza intendo.
grazie

 

[Moffetta88]

Io mi leggo sempre prima le note... Molte volte sono aggiornamenti che non servono a niente (tipo aggiornamenti per droppare il supporto a sistemi operativi che non gli vanno più a genio), mentre se ci sono dentro dei fix per i cve guardo se la mia versione è affetta e decido se aggiornare o meno (Esempio: c'era una vulnerabilità che colpiva le versioni antecedenti alla xxx e la yyyy; tutte le versioni superiori a yyyy e tra la xxxx e la yyyy non ne erano affette).
E' per questo che non si usano mai gli aggiornamenti automatici ^_^

 

[AleROMA]

Io su tutti i programmi faccio aggiornamento automatico
Tu ti aggiorni tutti i programmi uno ad uno?

 

[Moffetta88]

Diciamo che non faccio testo io, uso linux ed uso il computer per sviluppare. Se aggiornassi tutto automaticamente mi troverei tutto all'ultima versione e quindi impossibilitato a sviluppare ergo a lavorare ^_^
Tu sicuramente sei su windows, su un computer classico usato per lo più per navigazione/gaming, quindi ci sta aggiornare tutto in automatico..
Infatti l'unico software non nato per windows è l'unico che non ti si aggiorna xD

 

[AleROMA]

ok grazie, quindi posso continuare ad usare vpn, magari lo aggiorno manualmente ogni tanto.
va quindi prima disinstallato e poi reinstallato? non si può fare l'aggiornamento manuale?

 

[AleROMA]

@Moffetta88 ciao,
attualmente quando lo utilizzo mi sta dando questi avvisi, prima non lo faceva, sai come posso risolvere?

1- WARNING: Compression for receiving enabled.
Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.

2- DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM).
Future OpenVPN version will ignore --cipher for cipher negotiations.
Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.

3- WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

4- WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this


grazie mille

 

[Moffetta88]

Domanda: chi sta facendo da server di openvpn? Un computer o un router? Se fosse un router/modem spero che non sia un tplink...

 

[AleROMA]

@Moffetta88
lo sta facendo un nas synology

gli errori escono sul computer client che usa open vpn

 

[Moffetta88]

1- WARNING: Compression for receiving enabled.
Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.

Il client è abilitato per la compressione dei pacchetti, ma non il server, E DEVE RESTARE COSI'!!

https://community.openvpn.net/openvpn/wiki/VORACLE

2- DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM).
Future OpenVPN version will ignore --cipher for cipher negotiations.
Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.

Questo capita quando si aggiornano le cose senza motivo... I nuovi client non supporteranno più --cipher ma --data-ciphers quindi nella configurazione client nel file .ovpn dovrei fare quella modifica

3- WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Vuol dire che non hai configurato nessun tipo di verifica del certificato del server, e quindi potresti incappare in casi di man-in-the-middle ( leggiti il link che openvpn ti sputa fuori nel warning per maggiori info ). Per correggere la cosa, teoricamente nel file del client dovresti inserire remote-cert-tls server

4- WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

Praticamente l'hacker avrebbe bisogno di accedere alla tua ram, allora potrebbe riuscire rubare le credenziali di accesso della vpn.. Ma se un hacker riesce accedere alla ram, le credenziali di ovpn dovrebbe essere l'ultimo dei tuoi pensieri xD
Se non vuoi vedere questo warning, aggiungi alla configurazione client --auth-nocache

 

[AleROMA]

@Moffetta88 ciao e grazie per la risposta esaustiva.
ti rispondo con il colore blu.

1- WARNING: Compression for receiving enabled.
Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.

Il client è abilitato per la compressione dei pacchetti, ma non il server, E DEVE RESTARE COSI'!!
https://community.openvpn.net/openvpn/wiki/VORACLE

ok, lo lascio così

2- DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM).
Future OpenVPN version will ignore --cipher for cipher negotiations.
Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning.

Questo capita quando si aggiornano le cose senza motivo... I nuovi client non supporteranno più --cipher ma --data-ciphers quindi nella configurazione client nel file .ovpn dovrei fare quella modifica

ma è solo un avviso?
se lo lascio con cipher cosa succede, non mi fa la cifratura AES256?

3- WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

Vuol dire che non hai configurato nessun tipo di verifica del certificato del server, e quindi potresti incappare in casi di man-in-the-middle ( leggiti il link che openvpn ti sputa fuori nel warning per maggiori info ). Per correggere la cosa, teoricamente nel file del client dovresti inserire remote-cert-tls server

io mi collego solo ad un nas personale (affidabile), posso lasciare così senza controllo del certificato?
ho capito bene?

4- WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

Praticamente l'hacker avrebbe bisogno di accedere alla tua ram, allora potrebbe riuscire rubare le credenziali di accesso della vpn.. Ma se un hacker riesce accedere alla ram, le credenziali di ovpn dovrebbe essere l'ultimo dei tuoi pensieri xD
Se non vuoi vedere questo warning, aggiungi alla configurazione client --auth-nocache

ok quindi posso lasciare così?
anche perché dopo il riavvio del computer la cache viene svuotata giusto?

 

[Moffetta88]

ma è solo un avviso?
se lo lascio con cipher cosa succede, non mi fa la cifratura AES256?

Esatto, è solo un avviso, ed è retrocompatibile. Infatti lasceranno entrambe le diciture..

io mi collego solo ad un nas personale (affidabile), posso lasciare così senza controllo del certificato?
ho capito bene?

Sì

ok quindi posso lasciare così?
anche perché dopo il riavvio del computer la cache viene svuotata giusto?

Esattamente

 

[AleROMA]

@Moffetta88 grazie per le risposte
quindi posso lasciare tutto così non essendo problemi di sicurezza ma solo avvisi. giusto?

sul punto 4 invece, se addirittura metto la spunta su salva password cosa succede?
la password dove viene salvata?

grazie