Ich habe einen Server (VPN) mit öffentlicher IP. Dieser Server ist auch mit dem lokalen Netzwerk verbunden und bietet Benutzern, die über OpenVPN verbunden sind, Zugriff auf dieses Netzwerk (OpenVPN wird auf diesem Server gehostet). Nehmen wir an, dieser Server ist mit sysctl net.ipv4.ip_forward=1(da es sich um einen VPN-Server handelt) konfiguriert. Der Befehl ip a(vereinfacht) zeigt ungefähr Folgendes an:
eth0: inet 192.168.10.12/24
eth1: inet 142.250.184.206/26
Das lokale Netzwerk 192.168.10.0/24sollte nicht vom Internet aus zugänglich sein.
Ist es einem potenziellen Angreifer möglich, meinen Server als Gateway einzurichten oder den Datenverkehr über meine öffentliche IP ( 142.250.184.206) zu leiten, um auf mein lokales Netzwerk zuzugreifen?
Antwort1
Ja und nein. Vieles hängt von Ihrem Setup ab, aber einige Aussagen können hilfreich sein.
Vorausgesetzt, der Server wäre 142.250.184.206 (ich nenne ihn VPN-Box), wäre ein äußerst gezielter Angriff erforderlich, der Ihre Geräte kompromittiert. Eine andere Möglichkeit wäre, den Datenverkehr durch die VPN-Box zu zwingen, wenn dies nicht von jemandem im LAN eingerichtet wurde – und zwar in dem Maße, in dem Ihr Netzwerk so kompromittiert ist, dass der Zugriff über das VPN fast keinen Unterschied mehr macht.
Wenn die VPN-Box kompromittiert wird, kann sie dazu verwendet werden, auf Ihren Datenverkehr zuzugreifen, ihn zu unterwandern und umzuleiten. Obwohl es ziemlich praktisch ist, diese Box zu sichern (tatsächlich ist dies ziemlich analog zu den meisten Soho-Routern), ist sie ein Ziel, da die Box eine weltweit zugängliche IP hat. Sie benötigen mindestens eine starke Firewall, sowohl für Dienste auf der Box als auch für den Datenverkehr, der über die Box weitergeleitet wird.
Antwort2
Ich werde den gängigen Satz „Nichts ist wirklich sicher“ nicht wiederholen, auch wenn er absolut wahr ist. Dies zu tun ist kein großes Problem und durchaus machbar. Es hängt davon ab, wie viel Vertrauen Sie in Ihren VPN-Server haben und wie Sie ihn nutzen. Es gibt viele Bots, die Standardkennwörter und gängige Angriffe auf alle offenen Ports über öffentliche IPs ausprobieren. Sie müssen also sicherstellen, dass Ihr Server auf dem neuesten Stand ist und dass Ihre Kennwörter sicher genug sind. Sie öffnen ein Tor zu Ihrem lokalen Netzwerk, also müssen Sie sicherstellen, dass dieses Tor sicher ist.
nur der VPN-Port sollte geöffnet werden und nicht der Standardport. Sie sollten sicherstellen, dass Ihre VPN-Version keine Sicherheitslücken aufweist. Wenn es nur ein Weg ist, auf Ihr lokales Netzwerk zuzugreifen, würde ich empfehlen, Ihr VPN hinter Ihrem Router zu platzieren, damit Sie den Datenverkehr verwalten und die Portumleitung einfach ändern können. Beispielsweise hätte Ihr VPN nur eine IP innerhalb Ihres Netzwerks und nur eine Schnittstelle. Dann würde Ihr Router von einem zufälligen Port Ihrer Wahl zu Ihrem VPN umleiten. Dann könnten Sie Ihr VPN wie eine unsichere Maschine behandeln (beispielsweise mithilfe von IDS), um Ihr lokales Netzwerk zu sichern.