¿Es una mala idea usar un nombre de dominio para acceder a mi VPN?

5

Estoy usando una VPN principalmente para limitar el acceso a mis servidores, ya que tiene una dirección IP estática.

¿Es una mala práctica usar un nombre de dominio para acceder a mi VPN? Es decir, ¿está bien usar vpn.example.com, o debo acceder usando la dirección IP?

    
pregunta samdunne 04.01.2015 - 21:40
fuente

1 respuesta

4

Si su IP es completamente estática, obviamente podría usar la dirección IP de manera segura y confiable. Pero está bien usando el CNAME, siempre y cuando confíe en la entidad que hospeda su archivo de zona DNS.

Si no son confiables, o si son descuidados, es posible que algún tercero pueda sustituir sus propios registros DNS por los suyos y redirigir vpn.example.com a su propio servidor "malo" en lugar de a su servidor legítimo.

Siempre es posible que pueda obtener malware de secuestro de DNS en su computadora, o malware que rellene el archivo de sus hosts locales con entradas falsas. Pero si eso sucede, es muy probable que el malware esté grabando sus pulsaciones y enviándolas a casa, por lo que está comprometido de todas formas en esa situación.

Habiendo dicho todo lo anterior, sin embargo ...

¿Se está conectando a su VPN desde muchos lugares potencialmente sospechosos (puntos de acceso abiertos en la parte difícil de la ciudad, hoteles, cibercafés, etc.)? Si es así, siempre existe la posibilidad de que esos sistemas se hayan visto comprometidos y estén apuntando a servidores DNS envenenados.

Sin embargo, al menos dos factores atenuantes vienen a la mente.

Lo primero es que, dependiendo de la tecnología VPN que estés usando, deberías recibir una advertencia si el servidor al que llegas no es al que intentabas alcanzar. OpenVPN usa cifrado asimétrico y las claves VPN de su cliente no funcionarán con un servidor no autorizado a menos que ese servidor haya sido cargado de alguna manera con la clave privada de su servidor (en cuyo caso usted ya está completamente comprometido). La VPN SSTP de Microsoft (otra VPN HTTPS) está protegida con un certificado SSL / TLS y debería ladrarle si el certificado en el servidor no es correcto, y así sucesivamente.

La segunda cosa es que incluso si el DNS en algún punto de acceso WiFi público se ha envenenado, el propietario del servidor DNS envenenado debería estar apuntando específicamente al CNAME de su servidor vpn para redirigirlo a un servidor o retransmisión de VPN envenenado . A menos que seas un objetivo de alto valor de algún tipo, parece bastante improbable.

EDITAR: También hay paquetes anti-malware y otros servicios que siempre redirigen su máquina a sus propios servidores DNS.

    
respondido por el Craig 04.01.2015 - 22:12
fuente

Lea otras preguntas en las etiquetas