¿Se puede confiar en las IP dentro de una VPN?

Navega tus respuestas
5

Pregunta

Tengo varios clientes linux conectados a un servidor OpenVPN. Cada cliente recibe una IP persistente basada en su Nombre común X509 . ¿Puedo confiar en estas IP?

Contexto

Tengo Client1 y Client2 conectados a Server , todos ellos en una red OpenVPN:

MegustaríaconfigurarunrecursocompartidoNFSparapermitirqueClient1(enexclusiva)accedaaalgunosarchivosenServer. La página TLDP sobre NFS y seguridad indica que la lista blanca de IP en /etc/export es " no muy segura ". ¿Esto sigue siendo cierto dentro de una VPN? Más precisamente, es posible que un atacante falsifique o se haga cargo de la dirección IP de Client1 de una manera que permita el acceso al recurso compartido NFS:

  • si posee una copia de las credenciales de Client2 ?
  • si tiene acceso de root a Client2 ?
  • si tiene acceso físico a Client2 ?

Específicos

(siéntase libre de asumir diferentes versiones de software, configuraciones y / o niveles de encriptación si es necesario)

  • La versión de OpenVPN es 2.2.1 x86_64-linux-gnu

  • El archivo de configuración en /etc/openvpn/server.conf contiene, entre otras líneas: 

    cipher AES-256-CBC
client-config-dir ccd

    Y la carpeta ccd contiene un archivo para cada cliente, que contiene esta única línea: 

    ifconfig-push 10.20.1.N 10.20.0.1

    con N el ID del cliente (1 o 2 aquí)

  • ccd-exclusive no está habilitado en el archivo de configuración

  • El algoritmo de firma es SHA1 con cifrado RSA

  • /etc/exports permitirá que una sola IP acceda al recurso compartido: 

    /some/dir 10.20.1.1(ro,all_squash,sync,subtree_check)

Nota: Indique cualquier otro problema con mi configuración en los comentarios de la pregunta. Definitivamente lo buscaré, pero por el bien de dejar un artefacto utilizable, mantengamos este hilo sobre la falsificación de IP. ¡Muchas gracias por tu tiempo!

    
pregunta flugga 11.02.2015 - 19:51
fuente

1 respuesta

0

El primer problema es que usa el mismo sistema que el punto final de VPN y NFS compartido, es posible "falsificar" la dirección IP permitida en el otro lado (por ejemplo, la línea pública del servidor), a menos que se mitigue por otros medios. (el servicio NFS no tiene idea de que una IP específica debería estar en una interfaz específica)

El segundo es que si 1 de las máquinas se ve comprometida de alguna manera, puede utilizarse como un relé para la suplantación de IP (Client2 puede configurarse más que como un 'salto' entre el atacante y el servidor falsificando la IP de Client1 en el proceso)

Este es un escenario difícil de implementar, pero es factible para los atacantes profesionales. (tienen que encontrar la IP del cliente1 por ejemplo) y si limita NFS para que solo acepte conexiones a través de openVPN, y al mismo tiempo emplee una detección de intrusión adecuada. El filtro 'ip' puede ser suficiente para limitar la conexión a solo cliente1.

    
respondido por el LvB 13.02.2015 - 11:44
fuente

Lea otras preguntas en las etiquetas

¿La red almacena en caché las llamadas de teléfonos móviles? [cerrado] Firewall en máquina virtual