¿Cuáles son los riesgos de tener un puerto reenviado a través de una puerta de enlace NAT a una IP no utilizada?

0

Estoy tratando de determinar si tener un puerto reenviado en mi puerta de enlace NAT a una dirección IP no utilizada me expone a cualquier riesgo de seguridad. Obviamente, si un dispositivo termina en la dirección IP, existe la posibilidad de que se produzca una intrusión en Internet, pero ¿hay alguna forma de que se pueda explotar un puerto de reenvío si no se utiliza la IP de destino?

¿Existe de todos modos (aparte de una vulnerabilidad en la puerta de enlace NAT) que un puerto hacia adelante no utilizado como este pueda presentar una apertura para un atacante?

Para el contexto, actualmente ejecuto un servidor Open VPN con puerto hacia adelante asociado para permitirme el acceso remoto a mi red doméstica. Estoy intentando configurar un sistema para arrancar de forma remota la VPN en el caso de que el servidor VPN se haya apagado. Puedo configurar mi enrutador para que envíe regularmente un paquete Wake-on-LAN para reiniciar los servicios si se apaga. El desafío principal es que necesito de alguna manera ingresar de forma remota la contraseña de cifrado del disco para permitir que mi servidor arranque.

Por lo tanto, estoy considerando usar Dropbear en initramfs para exponer un servidor SSH en una dirección IP que normalmente no se usa y puedo iniciar sesión específicamente para descifrar el disco.

Para que esto funcione, tendría que abrir un puerto hacia el servidor SSH. Esta configuración significaría que durante este reinicio, un atacante podría potencialmente acceder al servidor SSH, pero ¿presentaría algún riesgo de seguridad cuando el servidor VPN esté en funcionamiento (en una IP diferente) de modo que el reenvío vaya a una IP no utilizada?

    
pregunta EdC 08.07.2017 - 08:51
fuente

1 respuesta

1

No veo ningún riesgo mientras el servidor VPN se está ejecutando, si como usted dice, puede estar seguro de que no hay nada en el otro extremo de ese puerto.

No estoy seguro de entender su configuración de despertador en LAN con dropbear, pero parece que su servidor puede tener un SSH expuesto durante largos períodos de tiempo, lo que podría tener otros riesgos, como las variantes del BothanSpy / Gryfalcon .

    
respondido por el Sas3 08.07.2017 - 09:08
fuente

Lea otras preguntas en las etiquetas