Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

OpenVPN - Meilleure sécurité via TCP ou UDP ?

Tuxnet852

Bonsoir à tous amis Linuxien !

Le titre est déjà assez parlant mais je vais quand même explicité ma question un peu plus :

Je suis actuellement en train de monter un serveur VPN (j'ai pu tester un OpenVPN via UDP en 2048, marche niquel chrome)
Cette fois ci je monte un autre VPN en 4096 avec pour objectif la sécurité au maximum (au détriment de la fluidité/rapidité de navigation)

La question que je me pose est donc tout à fait légitime, TCP ou UDP en 4096 ? J'imagine qu'en TCP 4096 la connexion sera très lente, cependant en cas d'interception de paquet (mes sites sont distants de plusieurs milliers de kilomètres) ne vaut t'il pas mieux de l'UDP plutôt que du TCP ?
En imaginant un man in the middle entre mes deux sites, un sniff du traffic VPN (même encrypté) si celui-ci est en UDP aura moins de chance de fournir des informations complètes ? (vu que la perte de paquets est toléré en UDP et non en TCP)

Avis aux experts en interception/ sécurité ! (ou pas, tout avis est le bienvenue !)
Si je ne suis pas assez claire n'hesitez pas à me le faire savoir je vous détaillerai au mieux ma question,

Sur ce, bonne soirée à vous,
Cordialement,

Tuxnet

Barnabé2

Tuxnet852 a écrit La question que je me pose est donc tout à fait légitime, TCP ou UDP en 4096 ? J'imagine qu'en TCP 4096 la connexion sera très lente, cependant en cas d'interception de paquet (mes sites sont distants de plusieurs milliers de kilomètres) ne vaut t'il pas mieux de l'UDP plutôt que du TCP ?
En imaginant un man in the middle entre mes deux sites, un sniff du traffic VPN (même encrypté) si celui-ci est en UDP aura moins de chance de fournir des informations complètes ? (vu que la perte de paquets est toléré en UDP et non en TCP)
Tuxnet

Bonjour,

Un VPN ça sert à être relativement discret sur internet, TOR bien réglé ou la distribution TAILS sur DVD étant les références.

Mais ça peut bloquer un MIM sur un réseau wifi mal protégé, c’est le vrai avantage, pas la peine de spoofer une IP locale qui ne surfe pas, il n'y a pas de mot de passe à récupérer.
Donc le problème est surtout que le VPN marche bien, et d’après mes observations du trafic, il faut autoriser TCP et UDP, UDP tout seul ça ne marche pas toujours.

Pour moi, il faut autoriser en sortie UDP et le port 443 en TCP pour le VPN, et bloquer le port 80 toujours pour le VPN, sinon ça fuit, à noter que si vous ne bloquez pas webrtc dans le navigateur ça fuit aussi ( IP publique et locale ), même avec un VPN...

https://diafygi.github.io/webrtc-ips/

Firefox : taper " about:config " dans la barre de navigation > ok > media.peer.connection.enabled, passer à " false ".
Pour les autres navigateurs, Ublock origin a une option pour bloquer webrtc dans " paramètres ".