У меня есть сервер (vpn) с публичным IP. Этот сервер также подключен к локальной сети и предоставляет доступ к этой сети для пользователей, подключенных через openvpn (openvpn размещен на этом сервере). Допустим, этот сервер настроен с sysctl net.ipv4.ip_forward=1(поскольку это vpn-сервер), команда ip a(упрощенно) показывает что-то вроде этого:
eth0: inet 192.168.10.12/24
eth1: inet 142.250.184.206/26
Локальная сеть 192.168.10.0/24не должна быть доступна из Интернета.
Может ли потенциальный злоумышленник настроить мой сервер в качестве шлюза или принудительно направить трафик через мой публичный IP-адрес ( 142.250.184.206) для доступа к моей локальной сети?
решение1
И да, и нет. Многое зависит от вашей настройки, но несколько утверждений могут помочь.
При условии, что сервер находится по адресу 142.250.184.206 (назовем его VPN-сервером), и для того, чтобы заставить трафик проходить через VPN-сервер, потребуется крайне целенаправленная атака, скомпрометировавшая ваши устройства, если он не был настроен кем-то в локальной сети — до такой степени, что ваша сеть будет скомпрометирована настолько, что доступ через VPN практически не будет иметь значения.
Если VPN-бокс скомпрометирован, его можно использовать для доступа, подрыва и перенаправления вашего трафика. Хотя защитить этот бокс довольно практично (на самом деле, это довольно похоже на большинство маршрутизаторов Soho), поскольку на нем есть доступный извне IP, он является целью. Как минимум, вам нужен сильный брандмауэр на нем, как для служб на боксе, так и для трафика, проходящего через бокс.
решение2
Я не буду говорить распространенное предложение «ничто не безопасно», даже если это абсолютная правда. Сделать это не составит большого труда и вполне выполнимо. Это зависит от доверия к вашему VPN-серверу и от того, как вы его будете использовать, есть много ботов, которые попробуют пароль по умолчанию и обычные атаки на любые открытые порты через публичные IP-адреса. Поэтому вам нужно убедиться, что ваш сервер обновлен, и убедиться, что ваши пароли достаточно безопасны. Вы открываете ворота в свою локальную сеть, поэтому вы должны убедиться, что эти ворота безопасны.
должен быть открыт только порт VPN, а не порт по умолчанию, вы должны убедиться, что ваша версия VPN не имеет никаких нарушений безопасности. Если это просто способ доступа к вашей локальной сети, я бы рекомендовал иметь ваш vpn за вашим маршрутизатором, чтобы вы могли управлять трафиком и легко изменять перенаправление портов, например, ваш VPN будет иметь только IP внутри вашей сети и иметь только один интерфейс. тогда ваш маршрутизатор будет перенаправлять со случайного порта, который вы выберете, на ваш VPN. тогда вы можете рассматривать свой VPN как небезопасную машину (например, используя IDS), чтобы защитить свою локальную сеть.