Gli IP possono essere considerati affidabili all'interno di una VPN?

Naviga le tue risposte
5

Domanda

Ho diversi client linux connessi a un server OpenVPN. Ad ogni client viene assegnato un IP persistente in base a X509 Common Name . Posso fidarmi di questi IP?

Contesto

Ho Client1 e Client2 collegati a Server , tutti in una rete OpenVPN:

VorreicreareunacondivisioneNFSperconsentireaClient1(esclusivamente)diaccedereadalcunifilesuServer. La pagina TLDP su NFS e sicurezza afferma che la whitelist IP in /etc/export è " non terribilmente sicura ". Questo è ancora valido all'interno di una VPN? Più precisamente, è possibile per un utente malintenzionato spoofare o prendere in consegna l'indirizzo IP Client1 in un modo che potrebbe consentire l'accesso alla condivisione NFS:

  • se possiede una copia delle credenziali Cliente2 ?
  • se ha accesso root a Client2 ?
  • se ha accesso fisico a Client2 ?

Specifiche

(sentiti libero di assumere diverse versioni del software, configurazioni e / o livelli di crittografia se necessario)

  • La versione di OpenVPN è 2.2.1 x86_64-linux-gnu

  • Il file di configurazione in /etc/openvpn/server.conf contiene, tra le altre righe: 

    cipher AES-256-CBC
client-config-dir ccd

    E la cartella ccd contiene un file per ogni client, contenente questa riga: 

    ifconfig-push 10.20.1.N 10.20.0.1

    con N l'ID del client (1 o 2 qui)

  • ccd-exclusive non è abilitato nel file di configurazione

  • L'algoritmo di firma è SHA1 con crittografia RSA

  • /etc/exports consentirà a un singolo IP di accedere alla condivisione: 

    /some/dir 10.20.1.1(ro,all_squash,sync,subtree_check)

Nota: Si prega di segnalare qualsiasi altro problema con la mia configurazione nei commenti della domanda. Sicuramente lo esaminerò, ma allo scopo di lasciare un artefatto usabile, manterremo questa discussione sullo spoofing IP. Grazie mille per il tuo tempo!

    
posta flugga 11.02.2015 - 19:51
fonte

1 risposta

0

Il primo problema è dato dall'utilizzo dello stesso sistema dell'endpoint VPN e della condivisione NFS, è possibile "spoofare" l'indirizzo IP consentito sull'altro lato (ad esempio la linea pubblica del server) a meno che non sia mitigato con altri mezzi. (il servizio NFS non ha idea che un IP specifico dovrebbe essere su un'interfaccia specifica)

Il secondo è che se 1 delle macchine è compromessa in qualsiasi modo, può essere utilizzata come relay per lo spoofing IP (Client2 può essere configurato piuttosto che come un "hop" tra l'attaccante e lo spoofing del server IP di Client1 nel processo)

Questo è uno scenario difficile da implementare, ma fattibile per gli aggressori profesionali. (devono trovare l'IP di client1 per esempio) e se si limita NFS ad accettare solo i connettinos attraverso openVPN, e allo stesso tempo impiegare un adeguato rilevamento di intrusione. il filtro "ip" può essere sufficiente per limitare la connessione solo a client1.

    
risposta data 13.02.2015 - 11:44
fonte

Leggi altre domande sui tag

Riempimento casuale nelle funzioni di hash Perché non utilizzare la crittografia simmetrica?