我有一個有公共IP的伺服器(VPN)。該伺服器還連接到本機網絡,並為透過 openvpn(託管在該伺服器上的 openvpn)連接的用戶提供對此網路的存取。假設此伺服器配置為sysctl net.ipv4.ip_forward=1(因為它是 VPN 伺服器),命令ip a(簡化)顯示如下所示:
eth0: inet 192.168.10.12/24
eth1: inet 142.250.184.206/26
192.168.10.0/24不應從網際網路存取本地網路。
潛在攻擊者是否有可能將我的伺服器設定為網關或強制流量透過我的公共 IP ( 142.250.184.206) 存取我的本地網路?
答案1
是和不是。很大程度上取決於您的設置,但一些陳述可能會有所幫助。
提供的伺服器位於142.250.184.206(我稱之為VPN 盒),如果尚未在LAN 上設置某人,則需要採取極其有針對性的攻擊來損害您的設備,另一種方式強制流量通過VPN 盒-在某種程度上您的網路受到嚴重破壞,透過 VPN 存取幾乎沒有任何影響。
如果 VPN 盒遭到破壞,它可用於存取、破壞和重新路由您的流量。雖然保護這個盒子是非常實用的(事實上,這與大多數 soho 路由器相當相似),因為這個盒子有一個全球可訪問的 IP,它是一個目標。至少您需要一個強大的防火牆,無論是對於盒子上的服務還是透過盒子轉發的流量。
答案2
我不會說“沒有什麼是真正安全的”這句話,即使它絕對正確。這樣做並不是什麼大問題,而且完全可行。因此,您需要確保您的伺服器已更新,並確保您的密碼足夠安全。您正在打開通往本地網路的大門,因此您必須確保該大門是安全的。
僅應打開 VPN 端口,而不應打開預設端口,您應確保您的 VPN 版本沒有任何安全漏洞。如果這只是存取本機網路的一種方式,我建議您將 VPN 設定在路由器後面,以便您可以管理流量並輕鬆更改連接埠重新導向,例如您的 VPN 在網路內只有一個 IP,並且只有一個介面。然後您的路由器將從您選擇的隨機連接埠重新導向到您的 VPN。那麼您可以將您的VPN視為不安全的機器(例如使用IDS)來保護您的本地網路。