Tengo un servidor (vpn) con IP pública. Este servidor también se conecta a la red local y proporciona acceso a esta red para los usuarios conectados a través de openvpn (openvpn alojado en este servidor). Digamos que este servidor configurado con sysctl net.ipv4.ip_forward=1(ya que es un servidor vpn), el comando ip a(simplificado) muestra algo como esto:
eth0: inet 192.168.10.12/24
eth1: inet 142.250.184.206/26
No se debe poder acceder a la red local 192.168.10.0/24desde Internet.
¿Es posible que un atacante potencial configure mi servidor como puerta de enlace o fuerce el tráfico a través de mi IP pública ( 142.250.184.206) para acceder a mi red local?
Respuesta1
Si y no. Mucho depende de tu configuración, pero algunas afirmaciones pueden ayudar.
Proporcioné el servidor donde 142.250.184.206 (lo llamaré cuadro VPN) y se necesitaría un ataque extremadamente dirigido que comprometa sus dispositivos. Otra forma de forzar el tráfico a través del cuadro VPN si no se ha configurado a alguien en la LAN, hasta el punto su red está tan comprometida que el acceso a través de VPN casi no hace ninguna diferencia.
Si la caja VPN está comprometida, puede usarse para acceder, subvertir y redirigir su tráfico. Si bien es bastante práctico proteger esta caja (de hecho, esto es bastante análogo a la mayoría de los enrutadores de Soho), debido a que la caja tiene una IP accesible mundialmente, es un objetivo. Como mínimo, desea tener un firewall fuerte, tanto para los servicios en el cuadro como para el tráfico que se reenvía a través del cuadro.
Respuesta2
No diré la frase común "nada es realmente seguro", incluso si es absolutamente cierta. Hacer esto no es un gran problema y es perfectamente factible. Depende de la confianza que tenga en su servidor VPN y del uso que le dé, hay muchos robots que probarán la contraseña predeterminada y los ataques comunes a cualquier puerto abierto sobre IP públicas. Por lo tanto, deberá asegurarse de que su servidor esté actualizado y de que sus contraseñas sean lo suficientemente seguras. Está abriendo una puerta a su red local, por lo que debe asegurarse de que esta puerta sea segura.
solo se debe abrir el puerto VPN y no el puerto predeterminado, debes asegurarte de que tu versión de VPN no tenga ninguna brecha de seguridad. Si es solo una forma de acceder a su red local, recomendaría tener su VPN detrás de su enrutador para que pueda administrar el tráfico y cambiar fácilmente la redirección de puertos; por ejemplo, su VPN solo tendría una IP dentro de su red y una sola interfaz. luego su enrutador redirigirá desde un puerto aleatorio que usted elija hacia su VPN. entonces podrías tratar tu VPN como una máquina insegura (usando IDS, por ejemplo) para proteger tu red local.