id: Гость   вход   регистрация
текущее время 17:40 27/04/2024
Автор темы: filipp_85, тема открыта 29/08/2012 08:06 Печать
Категории: анонимность
https://www.pgpru.com/Форум/ПрактическаяБезопасность/VPNНаСвоемСервереКруто
создать
просмотр
ссылки

VPN на своем сервере Круто!


Наткнулся в интернете на такую статью:


"VPN на своем сервере? Круто!
Но безопасно ли? Сейчас чуть ли не каждый «средних оборотов» вебмастер имеет свой выделенный сервер, или на крайний случай, VPS. VPN-сервисам доверяют не все. И ставят OpenVPN/PPTP на свой собственный сервер.


Поставили VPN, соединились, все! Никто нас не отследит, СОРМ — кашляй. Однако, есть ньюансы!


Во-первых, зачастую VPN ставится на дефолтный айпи сервера.


Во-вторых, на дефолтном айпи сервера зачастую располагаются некоторые ресурсы вебмастера. Ну там, сайты, админки, FTP, Jabber…


В-третьих, любой VPN-клиент первым делом создает прямую роуту на этот самый айпи, дабы не терять соединение с сервером после соединения с сервером. Бррр. Ну, понятно к чему это я?


К тому что весь трафик на этот айпи, на который вы коннектитесь VPN-клиентом, не шифруется.


Не верите? Проверьте с помощью tracert ))


Пуск-выполнить
tracert VPN-IP
tracert my-site-on-this-ip.com
tracert my-ftp-on-this-ip.com
Итак, если на этом айпи вы пользуетесь какими то сервисами, например, там висит FTP сервер и вы на него коннектитесь, то и провайдер и СОРМ и все кто посредине, весело потирают ручонки и жрут попкорн, глядя на окно WireShark. А там… БЛЖДЖАТ ваши пароли….


Что же делать?


Айпи, на который коннектиться ваш клиент VPN — не должен быть привязан к каким либо сервисам: фтп, www и т.д. Он должен быть полностью выделенным под VPN."


Кто что думает на этот счет? У меня на VPS висит админка, но когда смотрю трафик Wiresharkом, вижу, что все пакеты зашифрованны. Может быть, я делаю что-то не так? Обязательно ли вешать OpenVPN на выделенный IP или он может мирно уживаться с другими сервисами, например, SSH?


 
Комментарии
— Гость (29/08/2012 08:55)   <#>
С разморозкой, КЭП!
— Гость (31/08/2012 00:15)   <#>
Какая феерическая бредятина. Я вот не админ и не вебмастер, но даже мне это кажется черезчур.

Итак, если на этом айпи вы пользуетесь какими то сервисами, например, там висит FTP сервер и вы на него коннектитесь, то и провайдер и СОРМ и все кто посредине, весело потирают ручонки и жрут попкорн, глядя на окно WireShark.

Если роутинг только один, и через него идёт весь траф, то это невозможно. Траф будет идти до OpenVPN-сервера, а оттуда пытаться уйти с него на реальный IP, но при этом он не покинет пределов сервера, т.к. реальный IP висит просто на другом сетевом интерфейсе сервера (пакеты перебросятся с интерфейса на интерфейс, но не более того). Впрочем, раз VPN уже есть, я бы предпочёл пользоваться сервисами, поднятыми на виртуальных IP:порт, а не на реальных (ибо зачем?). Поднимите себе ftp-сервер на каком-нибудь 10.0.0.1:21 и т.п.

Конечно, если дропнуть VPN-тунель и продолжить ходить на сервис по его реальному IP, то да. Но можно и в ногу себе стрелять. Для безопасности потому вообще не надо вешать сервисы на порты на реальном IP: пусть на реальном IP слушает только ssh и/или OpenVPN.

К тому что весь трафик на этот айпи, на который вы коннектитесь VPN-клиентом, не шифруется.

OpenVPN шифрует.
— filipp85 (04/09/2012 08:52)   <#>
Лично я проблему решил так.
Когда поднимаю VPN сам смотрю свой трафик WireSharkом. Там сразу видно когда он шифрованный а когда нет. ТОЛЬКО НЕ ЗАБУДЬТЕ ВЫКЛЮЧИТЬ СЖАТИЕ ТРАФИКА на время теста !!!
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3