OpenVPN y ejecutar otros servicios en el mismo servidor

Navega tus respuestas
1

¿Qué implicaciones de seguridad debo conocer / buscar cuando ejecuto OpenVPN en el mismo servidor que mi controlador de red en la nube y apt-cache-ng?

Planeo usar el mismo servidor para ejecutar apt-cacher-ng para almacenar en caché las actualizaciones de otros servidores Linux en la red. También ejecutará mi controlador de red en la nube (administra mis conmutadores, WAP, etc.).

Dado que OpenVPN requiere abrir un enrutador de puerto en el enrutador al servidor, ¿esto representa una amenaza mayor o estoy pensando demasiado?

No quiero poner apt-cacher en otro sistema. La otra posibilidad es la virtualización, pero no estoy familiarizado con KVM u otro software de virtualización de Linux. No corro MS, así que Hyper-V está fuera. Y ESXi 6 / 6U1 me da errores de disco en Debian 8 debido a que el núcleo más nuevo no es compatible con WRITE MISMO.

    
pregunta user2077362 18.11.2015 - 01:23
fuente

2 respuestas

1

Un problema es que si hay servicios a los que solo se puede acceder desde la IP del servidor, incluidos los servicios a los que se puede acceder desde la LAN (como la página de administración de su enrutador) o incluso a otros servicios que se ejecutan localmente en el servidor y que solo son accesibles a localhost. luego, un usuario que haya iniciado sesión correctamente en la VPN podrá acceder a ellos.

Si tiene servicios como este (como la página de administración de su enrutador) a los que no quiere que accedan los usuarios de VPN, asegúrese de que estén protegidos de forma segura por contraseñas y no solo confíe en la incapacidad de forasteros para conectarse con ellos.

    
respondido por el Macil 15.09.2016 - 23:35
fuente
0

Así que asumimos que solo reenvía exactamente un puerto al servidor. Suponemos que el enrutador-firewall es confiable y no podrá atacar el servidor o su red desde el enrutador. Entonces, en mi humilde opinión, el único riesgo es que alguien pueda romper su autenticación de VPN o usar un exploit de OpenVPN e ingresar como usuario válido en su red. Pero a partir de este momento, el problema no se limita solo al servidor VPN sino a todos los componentes de la red a los que se puede acceder también desde el servidor VPN.

En los tiempos de administración de mi red instalé muchas "viejas" VPNs de Windows con demonios PPTP, etc. (fue un estado de la técnica hasta hace algún tiempo, la instalación fue muy fácil de configurar). Si la seguridad es baja, existe más peligro, pero consideraría que OpenVPN es bastante difícil de romper cuando se configura correctamente. Si usa autenticación basada en certificados, es más importante cómo revocar un certificado rápidamente si se comprometió (equipo portátil perdido, etc.). Lástima que no sé si es posible con ella una autenticación de 2 factores.

BR Florian

    
respondido por el flohack 19.11.2015 - 17:28
fuente

Lea otras preguntas en las etiquetas

¿Qué estándares de PCI debe cumplir una aplicación de pago (para teléfonos inteligentes) para que el SSC de PCI los apruebe? La autenticación del cliente fue exitosa cuando se usa un pfx con Java, falla al usar OpenSSL. ¿Por qué?