OpenVPN de sitio a sitio con clave compartida

0

Tengo dos sitios físicos, cada uno con un enrutador / firewall perimetral que ejecuta pfSense y están conectados directamente a través de un enlace WAN. He implementado OpenVPN de sitio a sitio usando una clave previamente compartida para crear un túnel en la parte superior de esta WAN. Estoy usando esta conexión solo para conectar mi infraestructura central de la organización (DFS, replicación de Root DC, sincronización NTP). Uno de mis pfSenses es también un servidor OpenVPN de host a sitio utilizado por mis administradores y amp; Desarrolladores para realizar conexiones remotas a la infraestructura. Mis únicos puertos abiertos en el público frente a WAN son 443 para mis servidores web y 1194 para mi servidor a sitio (autenticación cert + radio), también tengo algunas reglas limitadas para NTP e intercambio.

¿Dado que mis enrutadores están conectados directamente, debería preocuparme la posibilidad de que alguien detecte el tráfico en esta WAN y revierta las claves? ¿Hay alguna forma de capturar el tráfico que circula entre esos enrutadores sin comprometerlos? Si mi tráfico ya está cifrado antes de ingresar al túnel, ¿se puede considerar seguro o debo trabajar para lograr algo aún más seguro como OpenVPN con los certificados?

    
pregunta Kamil Kurzynowski 12.06.2017 - 12:31
fuente

1 respuesta

1
  

... posibilidad de que alguien esté olfateando el tráfico en esta WAN

Si controla por completo cada parte de la WAN, entonces debe saber si alguien puede oler. Si no controla completamente todas las partes, probablemente debería asumir que alguien puede oler, incluso si los enrutadores están conectados directamente, es decir, no hay enrutadores, conmutadores o algo así entre ambos. Aún es posible interceptar el tráfico directamente empalmando la línea y agregando un dispositivo de intercepción, sin importar si usa Ethernet, fibra o similar para la WAN.

  

Si mi tráfico ya está cifrado antes de ingresar al túnel, puede considerarse seguro ...

Puede considerarse más seguro que el tráfico no cifrado, pero depende de los detalles si se puede considerar lo suficientemente seguro. Estos detalles son, por ejemplo, la calidad del cifrado o si la detección de metadatos (quién se conecta con quién, por cuánto tiempo, cuántos bytes ...) se considera un riesgo que debe abordarse o no.

    
respondido por el Steffen Ullrich 12.06.2017 - 13:14
fuente

Lea otras preguntas en las etiquetas