공용 IP를 사용하는 서버(VPN)가 있습니다. 이 서버는 또한 로컬 네트워크에 연결되어 openvpn(이 서버에서 호스팅되는 openvpn)을 통해 연결된 사용자에게 이 네트워크에 대한 액세스를 제공합니다. 이 서버가 sysctl net.ipv4.ip_forward=1VPN 서버이므로 구성되었다고 가정하면 명령 ip a(단순화)은 다음과 같이 표시됩니다.
eth0: inet 192.168.10.12/24
eth1: inet 142.250.184.206/26
로컬 네트워크는 192.168.10.0/24인터넷에서 접근할 수 없어야 합니다.
잠재적인 공격자가 내 서버를 게이트웨이로 설정하거나 내 공용 IP( 142.250.184.206)를 통해 트래픽을 강제로 내 로컬 네트워크에 액세스할 수 있습니까?
답변1
예, 아니오. 많은 것은 설정에 따라 다르지만 몇 가지 설명이 도움이 될 수 있습니다.
142.250.184.206(저는 VPN 상자라고 부름)이 있는 서버를 제공하며 LAN에 누군가 설정되지 않은 경우 VPN 상자를 통해 트래픽을 강제로 통과시키는 다른 방법으로 장치를 손상시키는 극도로 표적화된 공격이 필요합니다. 네트워크가 너무 손상되어 VPN을 통한 액세스가 거의 차이가 없습니다.
VPN 상자가 손상된 경우 이를 사용하여 트래픽에 액세스하고, 파괴하고, 경로를 변경할 수 있습니다. 이 상자를 보호하는 것은 매우 실용적이지만(실제로 이는 대부분의 소호 라우터와 매우 유사합니다) 상자에는 전 세계적으로 액세스 가능한 IP가 있으므로 대상입니다. 최소한 상자의 서비스와 상자를 통해 전달되는 트래픽 모두에 대해 강력한 방화벽이 필요합니다.
답변2
나는 '아무것도 정말 안전하지 않다'라는 일반적인 문장이 그것이 절대적으로 사실이더라도 말하지 않을 것입니다. 이 작업은 큰 문제가 아니며 완벽하게 가능합니다. VPN 서버에 대한 신뢰와 이를 어떻게 사용할지에 따라 달라지며, 기본 비밀번호와 일반적인 공격을 시도하는 봇이 많이 있습니다. 공용 IP를 통한 모든 열린 포트. 따라서 서버가 업데이트되었는지 확인하고 비밀번호가 충분히 안전한지 확인해야 합니다. 로컬 네트워크에 대한 게이트를 여는 중이므로 이 게이트가 안전한지 확인해야 합니다.
기본 포트가 아닌 VPN 포트만 열어야 하며, VPN 버전에 보안 위반이 없는지 확인해야 합니다. 로컬 네트워크에 액세스하는 방법일 뿐이라면 트래픽을 관리하고 포트 리디렉션을 쉽게 변경할 수 있도록 라우터 뒤에 VPN을 두는 것이 좋습니다. 예를 들어 VPN은 네트워크 내부에 IP만 있고 인터페이스는 하나만 있습니다. 그러면 라우터는 선택한 임의의 포트에서 VPN으로 리디렉션됩니다. 그런 다음 VPN을 안전하지 않은 시스템(예: IDS 사용)처럼 처리하여 로컬 네트워크를 보호할 수 있습니다.