Разделение входящего и исходящего трафика для VPN (только защита от хакеров)
Я не могу вспомнить, делал ли я что-то еще, но кажется, что я создал /etc/systemd/system/rngd@.serviceсо следующим:
[Unit]
Description=rngd service on %I
[Service]
Type=simple
ExecStartPre=/bin/stty -F /dev/%I raw -echo -parenb
ExecStart=/usr/sbin/rngd -f --fill-watermark=4000 --rng-device=/dev/%I
Затем, sudo systemctl enable rngd@ttyACM0.serviceиsudo systemctl start rngd@ttyACM0.service
Виртуальные частные сети работают, создавая сетевой «уровень» поверх физической сети, таким образом, происходит «виртуальное» различие. У вас все еще есть входящий IP-адрес на частном конце -, и вы действительно должны это сделать, поскольку физическое подключение лежит в основе виртуального подключения.
VPN обеспечивает некоторую степень анонимности, потому что к тому времени, когда удаленный сервер видит входящий IP-адрес, это IP-адрес VPN, а не ваш собственный. Трафик к VPN-сервису с вашего IP-адреса виден, но вся полезная нагрузка зашифрована, поэтому все, что может сказать наблюдатель, — это то, что трафик идет к VPN-сервису, а не к тому, что выйдет с другой стороны.
Это отличается от безопасности. Служба VPN по своей сути не добавляет никакой фильтрации пакетов или защиты от проникновения. Он просто маскирует ваш IP-адрес от вашего конца и маскируется под источник трафика с точки зрения конечного пункта назначения.
Теперь поговорим о входящем трафике. На самом деле существует два типа-ответов на локальный трафик, таких как ответ веб-сервера при посещении веб-страницы, и новые соединения, которые были установлены удаленно и, якобы, подключались к службе, предлагаемой вашей системой.
Существующие соединения гипотетически могут быть скомпрометированы. Как правило, это человек -в -средней ситуации -, когда злоумышленник может вводить произвольные данные в запрос, ответ или и то, и другое. В реальном мире ваша защита от этого теоретически обеспечивается HTTPS, проверкой ключа хоста ssh и т. д. Если вы им не доверяете, лучше вообще не пользоваться Интернетом, потому что VPN не меняет этого, он просто перемещает Окно MiTM из «вне вашего компьютера» в «вне VPN». Таким образом, VPN не собирается решать эту проблему по своей сути.
Но есть еще кое-что. Соединения, которые были установлены через VPN, будут связаны с исходящим адресом VPN, а не с вашим локальным адресом. По сути,весь смысл VPN в том, что конечный пункт назначения вашего трафика не видит ваш локальный IP-адрес, верно? Итак, как именно конечный пункт назначения узнает, что нужно отправить ответ напрямую вам, минуя VPN?
Даже если бы существовал такой способ запроса ответов на IP-адрес, отличный от запрашивающего IP-адреса, он, вероятно, не был бы широко поддержан, потому что любая служба, поддерживающая его, была бы открыта для атак отражения; у него нет возможности проверить «исходный» IP-адрес, поэтому вы можете атаковать любой IP-адрес, просто делая недорогие запросы с большими и дорогими ответами и говоря им, чтобы они отвечали на этот IP-адрес. Атакуемый IP-адрес будет отбрасывать весь трафик, но он все равно может вызвать отказ в обслуживании, перегрузив IP-адрес нелегитимным трафиком.
TCP так не работает. Вы не можете «просто» установить соединение с адреса А и отправить ответы на адрес Б.
Итак, я убедился, что VPN:
- по своей сути не обеспечивает никакой защиты от «хакеров», которых вы боитесь
- не поддерживает и, вероятно, не будет поддерживать ответы на IP-адрес, который не является запрашивающим IP-адресом.
Хорошо, с новыми подключениями намного проще. Если вы управляете своим собственным VPN, вы, вероятно, можете настроить его для переадресации входящих подключений на ваш локальный компьютер. Но это не добавляет никакой безопасности, которую вы не могли бы добавить локально с точки зрения брандмауэра и защиты от проникновения. VPN не дает вам этого, как мы описали. Или вы можете принимать входящие соединения без VPN (, в этом случае вам нужно будет иметь частичный маршрут к VPN, и гораздо чаще весь трафик отправляется через VPN, но это, безусловно, в пределах возможностей openVPNs направлять только часть трафика через VPN ). В любом случае, VPN по своей сути не выполняет какую-либо фильтрацию трафика. Эти гнусные стороны, если они уже нацелились на связь,просто атакуйте с другой стороны впн.
Самый простой способ защитить предлагаемые службы в системе — отключить их. Запустите их в другом месте на выделенном хосте или, если вам действительно нужно предложить эту услугу в Интернете, вам придется как-то защитить свои услуги. Если вы беспокоитесь о хакерах, прослушивание любого порта является наиболее вероятным способом доступа к вашей системе, и самый простой способ избежать этого — просто не разрешать новые подключения в вашу систему, а только трафик, связанный с подключениями, исходящими из система.
Но опять же, это совершенно не зависит от VPN. Вы можете делать это на сервере VPN или на своем собственном сервере.
Мой вам совет? Сосредоточьтесь на передовых методах обеспечения безопасности на своей рабочей станции и, если частичная анонимность в сети не является вашей серьезной целью, просто откажитесь от VPN. Он не делает того, что вы думаете. Надеюсь, после прочтения станет понятно, почему.
Просто обслуживайте любые службы, которые у вас есть, на интерфейсе, созданном VPN-сервером , который вы должны запустить на этой машине. За исключением того, что у вас будет единственная услуга VPN, доступная на вашем общедоступном IP-адресе. Это не повлияет на ваши исходящие соединения. Вы также можете запретить любой трафик, исходящий из VPN и пытающийся выйти в другое место, то есть туннелировать через этот сервер.