O que é mais seguro executar o openvpn em um roteador ou em uma máquina dedicada atrás do roteador?

Question

O que é mais seguro executar o openvpn em um roteador ou em uma máquina dedicada atrás do roteador?

#1 resposta do (2 votos)

1

Eu queria saber qual dessas configurações openvpn seria considerado mais seguro.

1: execute o servidor openvpn usando o Netgear r7000 pronto para uso, o problema é que eu não confio na Netgear para continuar atualizando o firmware como deveriam.

2: execute o servidor openvpn usando DD-Wrt, a instalação é um pouco mais complicada e eu posso quebrar algumas outras configurações de segurança por engano ao tentar colocar o servidor em funcionamento.

3: execute um Rapsberry Pi dedicado com um servidor openvpn "atrás" do roteador.

A opção 3 é a minha favorita (e mais barata), mas fiquei me perguntando se a execução de um servidor por trás do roteador e, portanto, a transferência do roteador para o servidor criaria mais ameaças de segurança.

Obrigado!

Editar, para ficar um pouco mais claro

Em poucas palavras, um servidor openvpn rodando em um roteador seria mais seguro do que um servidor rodando atrás de um roteador encaminhando portas?

openvpn dd-wrt

por fingertwist 05.04.2016 / 04:26

1 resposta

Tags openvpn dd-wrt

Existe alguma maneira de descriptografar arquivos .locky? o ping funciona, mas o iperf3 não mostra nenhum tráfego para o TCP

score 2 · Accepted Answer

Em termos de fornecimento de acesso remoto (ingresso), há argumentos que favorecem ambas as abordagens, mas eu recomendo o servidor interno com o encaminhamento de porta. Isso tem algumas vantagens:

O software pode ser atualizado / atualizado mais rapidamente (em geral)
O firewall adicional pode ser aplicado ao tráfego conforme necessário para restringir mais estritamente o tráfego permitido.
Os sistemas internos de proteção contra invasão podem ver e analisar o tráfego.

A única situação em que o roteador é superior é se a conexão VPN depende das portas UDP extensivamente. O UDP pode ser mais perigoso para permitir a LAN e é muito mais difícil para o NAT. Nesse caso, seria vantajoso processar o tráfego antes de permitir a entrada na LAN.