OpenVPN da sito a sito con chiave condivisa

0

Ho due siti fisici ciascuno con router / firewall edge che esegue pfSense e sono collegati direttamente tramite un collegamento WAN. Ho implementato OpenVPN da sito a sito utilizzando la chiave pre-condivisa per creare tunnel su questa WAN. Sto usando questa connessione solo per connettere la mia infrastruttura principale dell'organizzazione (DFS, replica Root DC, sincronizzazione NTP). Uno dei miei pfSenses è anche un server OpenVPN host-to-site usato dai miei amministratori & sviluppatori per effettuare connessioni remote all'infrastruttura. Le mie uniche porte aperte sul WAN pubblico sono 443 per i miei server web e 1194 per il mio host al sito (cert + radius authentication), ho anche alcune regole strette per NTP e lo scambio.

Dato che i miei router sono collegati direttamente dovrei essere davvero preoccupato per la possibilità che qualcuno possa annusare il traffico su questa WAN e invertire le chiavi? C'è un modo per catturare il traffico che passa tra quei router senza comprometterli? Se il mio traffico è già crittografato prima di entrare nel tunnel potrebbe essere considerato sicuro, o dovrei lavorare verso qualcosa di ancora più sicuro come OpenVPN con i certificati?

    
posta Kamil Kurzynowski 12.06.2017 - 12:31
fonte

1 risposta

1

... possibility of somebody sniffing traffic on this WAN

Se controlli completamente ogni parte della WAN, dovresti sapere se qualcuno può annusare o meno. Se non si controlla completamente ogni parte, si dovrebbe presumere che qualcuno sia in grado di annusare, anche se i router sono collegati direttamente, cioè senza router, switch o qualcosa di simile in mezzo. È ancora possibile intercettare il traffico direttamente collegando la linea e aggiungendo un dispositivo di intercettazione, indipendentemente dall'utilizzo di Ethernet, fibra o simili per la WAN.

If my traffic is already encrypted before entering the tunnel may it be considered secure ...

Può essere considerato più sicuro del traffico non criptato, ma dipende dai dettagli se può essere considerato abbastanza sicuro. Questi dettagli sono ad esempio la qualità della crittografia o se il fiuto dei meta dati (chi si connette con chi, per quanto tempo, quanti byte ...) è considerato un rischio che deve essere affrontato o meno.

    
risposta data 12.06.2017 - 13:14
fonte

Leggi altre domande sui tag