Segurança da rede local via VPN

Navegue suas respostas
1

Eu tenho uma máquina Linux em uma rede local que usa uma conexão OpenVPN para alcançar o mundo exterior. No entanto, eu não sei nada sobre o servidor VPN em si e, portanto, suponho que quem o opera pode ter intenções maliciosas. A máquina Linux é considerada segura o suficiente para ser usada em uma rede pública (sem portas abertas ou serviços em execução, software atualizado etc.) e os dados transferidos pela VPN também são criptografados ou inofensivos.

O que me interessa é saber se outros dispositivos (potencialmente não tão bem protegidos) são seguros se operarem na mesma rede local que a máquina Linux. A conexão VPN pode ser explorada para acessar outros dispositivos na rede local (no lado do cliente)? Seria possível que o servidor VPN injetasse regras de roteamento para o cliente que permitiriam esse acesso? Se sim, como evitar isso?

    
por Andrzej Pronobis 21.02.2016 / 03:47

2 respostas

1

Injeção de rotas e comprometimento de computadores locais são dois tópicos distintos.

Primeiro de tudo, vamos estabelecer quem é o perigo: alguém certamente seria quem controla o servidor OpenVPN. Qualquer pessoa fora do OpenVPN achará quase impossível superar a bem-sucedida autenticação mútua eo procedimento de troca de chaves do OpenVPN. Em outras palavras, se você estiver usando certificados para se conectar ao seu servidor, não há nada que um invasor externo possa fazer. A partir de hoje, estou ciente de nenhuma exploração contra o RSA do OpenVPN mais o Diffie-Helman mais a segurança de cifra de bloco.

Um proprietário mal-intencionado do servidor pode causar muitos danos, mesmo sem usar o envio de rotas. Na verdade, ela controla seu roteamento final e pode usar servidores DNS mal-intencionados, reencaminhar para sites corruptos e assim por diante, em seu próprio site , sem necessidade de enviar rotas estranhas aos clientes. Dessa forma, você nem estaria ciente do que está causando o dano.

Ela pode usar um computador comprometido para atacar você? A resposta é: por que ela, se ela já tem um canal de acesso direto ao seu pc?

A última pergunta é: vamos supor que alguém com um PC comprometido esteja em sua LAN, ele pode atacá-lo? Não importa como o PC foi comprometido, pode ser um laptop que foi comprometido em outro lugar, ou foi comprometido enquanto navega através do OpenVPN através dos canais habituais. Este pc não teria problemas em atacar você: um invasor com um canal de acesso ao PC comprometido o veria como um PC local, algo que pode ser acessado sem referência ao OpenVPN. Todos os computadores, independentemente do sistema operacional, têm uma rota local; caso contrário, seria impossível conectar-se à impressora, à TV, aos compartilhamentos locais e assim por diante. Mas onnections locais não passam pelo vpn, não importa qual o tipo de vpn que é. Assim, um PC comprometido seria um perigo para você, sim, de fato.

As VPNs devem fornecer privacidade e segurança, no sentido de que ninguém pode forçá-lo a acessá-lo de fora, o que o OpenVPN faz notoriamente. Mas não há defesas em vigor se alguém em sua LAN fizer o download e instalar softwares mal-intencionados, a LAN local é tão transparente quanto água limpa. Na verdade, o único problema que um invasor tem é estabelecer seu verdadeiro endereço IP; um dos minhas primeiras respostas neste site , e uma que me arrependi, foi exatamente sobre como fazer isso. Além disso, é bom navegar para um atacante.

    
por 21.02.2016 / 05:41
0

Eu assumo que você não está no controle da rede que você conectou, então não é a questão se a VPN é segura ou não. Pergunta é a parte que gerencia a rede é confiável ou não. Para as respostas individuais às suas perguntas

  • Não, o servidor VPN não pode injetar nenhum roteamento do lado do cliente para os clientes. Mas pode encaminhar o seu tráfego para diferentes rotas.
  • Sim, o servidor VPN pode conceder acesso à rede local, mas também a qualquer outro dispositivo que possa conectá-lo à Internet (Atendendo conexões NATed a redes públicas)

Nada disso torna seus dispositivos mais ou menos seguros do que eles.

    
por 21.02.2016 / 03:58

Tags

O que significam as definições de configuração da NVIDIA SLI? Posso configurar minha chave do Windows para agir como uma tecla fn?