OpenVPN e in esecuzione altri servizi sullo stesso server

1

Quali implicazioni di sicurezza dovrei sapere / cercare quando eseguo OpenVPN sullo stesso server del mio controller cloud di rete e apt-cache-ng?

Ho intenzione di utilizzare lo stesso server per eseguire apt-cacher-ng per memorizzare nella cache gli aggiornamenti per altri server Linux sulla rete. Inoltre, eseguirà il mio controller di rete cloud (gestisce i miei switch, WAP, ecc.).

Dal momento che OpenVPN richiede l'apertura di un port-forward sul router verso il server, questo rappresenta una minaccia più grande o sono un pensiero eccessivo?

Non voglio mettere apt-cacher su un altro sistema. L'altra possibilità è la virtualizzazione, ma non ho familiarità con KVM o altri software di virtualizzazione di Linux. Non eseguo MS, quindi Hyper-V è fuori. E ESXi 6 / 6U1 mi dà errori su disco su Debian 8 a causa del kernel più recente che non supporta WRITE SAME.

    
posta user2077362 18.11.2015 - 01:23
fonte

2 risposte

1

Un problema è che se ci sono servizi accessibili solo dall'IP del server, compresi i servizi accessibili dalla LAN (come la pagina di amministrazione del router) o anche altri servizi in esecuzione sul server che sono accessibili solo a localhost, quindi un utente che ha effettuato l'accesso con successo alla VPN potrebbe essere in grado di accedervi.

Se hai servizi come questo (come la pagina di amministrazione del tuo router) che non vuoi che gli utenti VPN possano accedere, assicurati che siano protetti in modo sicuro dalle password e non faccia affidamento solo sull'incapacità di estranei per connettersi a loro.

    
risposta data 15.09.2016 - 23:35
fonte
0

Quindi assumiamo che tu inoltrino esattamente una sola porta al server. Assumiamo che il router-firewall sia affidabile e non sarà in grado di attaccare il server o la rete dal router. Quindi, IMHO, l'unico rischio è che qualcuno possa in qualche modo interrompere la tua autenticazione VPN o utilizzare un exploit OpenVPN e inserirlo come utente valido nella tua rete. Ma da questo momento in poi il problema non è limitato al solo server VPN ma a tutti i componenti della rete che possono essere raggiunti anche dal server VPN.

Nei miei tempi di amministratore di rete ho installato molte "vecchie" VPN di Windows con demoni PPTP ecc. (era fino a qualche tempo fa lo stato dell'arte, sinc eit era molto facile da configurare). Con un livello basso di sicurezza si presenta più pericolo, ma considererei OpenVPN piuttosto difficile da interrompere quando impostato correttamente. Se si utilizza l'autenticazione basata su certificato, è più una questione su come revocare un certificato quikcly se è stato compromesso (laptop perse, ecc.). Peccato che non sappia se è possibile un auth a 2 fattori con esso.

BR Florian

    
risposta data 19.11.2015 - 17:28
fonte

Leggi altre domande sui tag