パブリック IP を持つサーバー (VPN) があります。このサーバーはローカル ネットワークにも接続されており、openvpn (このサーバーでホストされている openvpn) 経由で接続されたユーザーにこのネットワークへのアクセスを提供します。このサーバーがsysctl net.ipv4.ip_forward=1(VPN サーバーなので) で構成されているとすると、コマンドip a(簡略化) は次のようになります。
eth0: inet 192.168.10.12/24
eth1: inet 142.250.184.206/26
ローカル ネットワークは192.168.10.0/24インターネットからアクセスできないようにする必要があります。
潜在的な攻撃者が私のサーバーをゲートウェイとして設定したり、パブリック IP ( 142.250.184.206) 経由でトラフィックを強制的にローカル ネットワークにアクセスさせたりすることは可能ですか?
答え1
はい、いいえです。設定によって大きく異なりますが、いくつかの説明が役立つかもしれません。
サーバーが 142.250.184.206 (VPN ボックスと呼ぶ) にあると仮定すると、LAN 上の誰かが VPN ボックスを設定していない場合、トラフィックを強制的に VPN ボックス経由にするには、デバイスを侵害する非常に標的を絞った攻撃が必要になります。つまり、ネットワークが侵害されすぎて、VPN 経由のアクセスがほとんど効果をもたらさない程度までになります。
VPN ボックスが侵害されると、トラフィックにアクセスしたり、トラフィックを破壊したり、トラフィックを再ルーティングしたりするために利用される可能性があります。このボックスを保護することは非常に現実的ですが (実際、ほとんどの SOHO ルーターとかなり類似しています)、ボックスには世界中からアクセス可能な IP があるため、ターゲットになります。少なくとも、ボックス上のサービスとボックスを介して転送されるトラフィックの両方に対して、強力なファイアウォールが必要です。
答え2
たとえそれが絶対に真実だとしても、「本当に安全なものなど何もない」というよくある言い方は言いません。これを行うことは大した問題ではなく、完全に実行可能です。VPN サーバーに対する信頼度と、それをどのように使用するかによって異なりますが、パブリック IP 上の開いているポートに対して、デフォルトのパスワードや一般的な攻撃を試みるボットが多数存在します。したがって、サーバーが更新されていること、およびパスワードが十分に安全であることを確認する必要があります。ローカル ネットワークへのゲートを開くことになるため、このゲートが安全であることを確認する必要があります。
開く必要があるのは VPN ポートのみで、デフォルト ポートは開いてはいけません。VPN バージョンにセキュリティ違反がないことを確認する必要があります。ローカル ネットワークにアクセスするだけの場合は、トラフィックを管理し、ポート リダイレクトを簡単に変更できるように、ルーターの背後に VPN を配置することをお勧めします。たとえば、VPN にはネットワーク内の IP のみがあり、インターフェイスは 1 つだけです。すると、ルーターは選択したランダム ポートから VPN にリダイレクトします。その後、VPN を安全でないマシンのように扱い (たとえば IDS を使用)、ローカル ネットワークを保護できます。