seguridad del servidor VPN

-1

Digamos que configuro una frambuesa como un servidor openvpn para asegurar las conexiones de mi computadora portátil / teléfono inteligente en las redes domésticas y extranjeras. Si, por alguna razón, mi servidor se ve comprometido, ¿se comprometen las conexiones seguras provistas con otros dispositivos (clientes)? Si es así,

  1. ¿Qué tan difícil es comprometer ese servidor en primer lugar?
  2. Si está comprometido, ¿están en riesgo los datos cifrados entre el servidor y el cliente?
  3. ¿Cómo puedo asegurar un servidor doméstico? (configuración básica)

Gracias de antemano.

    
pregunta user122024 21.08.2016 - 19:24
fuente

2 respuestas

1
  

Si ... mi servidor se ve comprometido, ¿están comprometidas las conexiones seguras proporcionadas con otros dispositivos (clientes)?

Sí. En el punto final de la VPN (es decir, su servidor), finaliza la protección ofrecida por la VPN. Si un atacante ha comprometido el servidor, puede detectar e incluso modificar el tráfico que fluye a través de la VPN.

  

¿Qué tan difícil es comprometer ese servidor en primer lugar?

Depende de lo seguro que configure el sistema. Si se hace bien, el compromiso es difícil, si se hace mal, el compromiso es fácil.

  

Si está comprometido, ¿están en riesgo los datos cifrados entre el servidor y el cliente?

Sí, el atacante puede leer y modificar todos los datos. También puede agregar una puerta trasera al cifrado de la VPN para que, incluso si el atacante pierde el acceso al servidor VPN en sí mismo, todavía pueda descifrar cualquier información detectada.

  

¿Cómo puedo asegurar un servidor doméstico? (configuración básica)

Esta pregunta es demasiado amplia. Pero en resumen: reduzca la superficie de ataque utilizando un sistema mínimo y seguro, inicie solo los servicios esenciales y protéjalos adecuadamente. Y mantener el sistema actualizado.

    
respondido por el Steffen Ullrich 21.08.2016 - 19:47
fuente
0

Steffens La respuesta es bastante buena pero quiero obtener más detalles en la parte de:

  

¿Qué tan difícil es comprometer ese servidor en primer lugar?

     

¿Cómo puedo asegurar un servidor doméstico? (configuración básica)

Como lo mencionó Steffen, realmente depende de su sistema, pero dada su pregunta, probablemente su Pi no está realmente configurado de manera segura

Por supuesto, podemos creer que ya ha cambiado las Credenciales predeterminadas de su PI. Ahora, en primer lugar, debes instalar OFW , una herramienta fácil de usar para hacer iptables : reglas de cortafuegos. Bloquea todo excepto los puertos que REALMENTE necesitas.

Luego debes instalar algunas herramientas IDS / IPS / AV como rkhunter / chkrootkit / ossec . Otra herramienta interesante es fail2ban , que prohíbe las IP a través de iptable-rules automáticamente después de varios intentos fallidos de inicio de sesión, etc.

Todas las herramientas mencionadas anteriormente deben usar exim4 mail para que los informes de amenazas, etc., se le envíen por correo electrónico.

También debe desactivar la autenticación de contraseña para SSH si es accesible desde Internet (no bloqueado por IPtables) y cambiar a autenticación basada en certificados.

Con esta configuración, un poco de lectura en google y sentido común, su Pi debería considerarse "bastante seguro", ya que "totalmente seguro" nunca sucede :)

Los tutoriales sobre cómo configurar / configurar dicha herramienta están muy extendidos si solo busca en google

EDITAR: Dado que Raspian es solo un Debian-Derivat, la mayoría de los Google Tutrorials en cosas como "cómo configurar un servidor Debian seguro" son bastante fáciles de transportar al Pi

    
respondido por el Martin Fischer 21.08.2016 - 21:08
fuente

Lea otras preguntas en las etiquetas