О безопасности VPN на своем сервере

Тут статейку накалякал

Вы думаете, вы полностью обезопасили себя, поставив VPN себе на сервер. Ну не совсем, не совсем...

http://www.pentarh.com/wp/2011/07/01/own-server-vpn/

чем это:

Код:

tracert my-site-on-this-ip.com tracert my-ftp-on-this-ip.com

должно отличаться от этого:

Код:

tracert VPN-IP

в конечном состоянии, чтобы все было пиздато?

Айпи, на который коннектиться ваш клиент VPN - не должен содержать на себе никаких сервисов: фтп, www и т.д. Он должен быть полностью выделенным под VPN.

я так и не понял о чем предупреждают в статье
tracert показывает 1 запись, хоть на этом апе есть и фтп и ввв

ну если шифрование канала делаем на своём серве (что самое правильное), тогда уж лучше SSH-туннель + сокс, который слушает только на локальном и-фейсе и выход с другого ИПа

Pentarh, можно проще (если IP свободного нету, а так хз, что проще, но зато надежнее по-любому). Коннектиться на свои сервисы не через их настоящий IP, а через IP интерфейса tunN.

Ну то есть я на свой SSH захожу через адрес 10.8.0.1 - через адрес внутренней сети. Типа в локалке. Так, к примеру, можно нахер закрыть SSH снаружи, от греха подальше - и вообще оставить только HTTP для пользователей через дырку в файрволле. Все админские WWW-сервисы тоже повесить на 10.8.0.1 only. При наличии VPN оставлять торчать во внешний мир какие либо административные порты вообще ни к чему.

А кто FTP использует в году 2011 - вообще сам себе враг хуже Буратино.

как проверить админа что он не снифает впн?

mr. snatch писал:

тогда уж лучше SSH-туннель + сокс

пятый год про это толдычу, а нет все опять ебутся с VPN

andreich: да многим проще 1 раз настроить VPN, чем в каждой программе socks прописывать. И не все поддерживают, кстати. И резолвинг DNS через socks - еще меньше поддерживают. VPN - это чистое решение, а socks - костыли как бы.

ненадо настраивать сокс в каждой прогремме, достаточно поставить прогу (счаз непомню как называется) там указать какие проги пускать через туннель и все

да я не наставиваю удобновам юзать VPN юзаете

ну хз, костылём это назвать трудно ) на серваке (куда коннектимся по ssh) ставим свой сокс5 сервер который умеет remote dns (например полипо или данте и т.д.). Конфигурируем сокс-сервер слушать на локальном интерфейсе (который виден только после коннекта по ssh на сервак, например 127.0.0.1:5000), ну и дальше обычный туннелинг - локально ставим любой собственно тунеллер (например Entunnel тот-же putty, winscp и т.д. что угодно, что умеет делать туннели) который слушает на локальном компе (например 127.0.0.1:10000) и все локальные коннекты форвардит все локальные подключения с 127.0.0.1:10000 на 127.0.0.1:5000 на серваке по этому туннелю.
То есть, во всех прогах, которые нужно соксифицировать, в качестве прокси указываем 127.0.0.1:10000 (подключение впоймает тунеллеровщик и отфорвардит по ssh-подключению на ИП:Порт где слушает сокс5-сервер, то есть на 127.0.0.1:5000 на удалённом сервере).
Если руками прописывать прокси ломает, можно заюзать опять же любой мэппер, которые перехватит все исходящие и отфорвардит их на 127.0.0.1:10000 тем самым и спроксифицирует любую программу (например freecap, proxifier и т.д.)
Этот весь софт есть в потрейбл версиях, то есть ничего инсталить и постоянно настраивать не надо, а просто достаточно тоскать с собой на флешке в криптодиске )

Последний раз редактировалось: mr. snatch (02/07/11 в 00:16), всего редактировалось 2 раз(а)

Цитата:

ненадо настраивать сокс в каждой прогремме, достаточно поставить прогу (счаз непомню как называется)

вспомни плиз

Да народ вы чего, какие соксы? OpenVPN просто на выделенный под него айпи и фсе.

Pentarh писал:

Да народ вы чего, какие соксы? OpenVPN просто на выделенный под него айпи и фсе

ну при OpenVPN я так понимаю весь траффик пойдет через тот IP, тоесть если сервак и IP в USA весь траф пойдет через него ?

А если ты сокс поставишь, он чего, через другое место пойдет?

Pentarh писал:

А если ты сокс поставишь, он чего, через другое место пойдет?

ну выше же все написанно, мне вообще нужно через сокс пускать броузер (FF) и FTP (FlashFXP) вот там я и настраиваю сокс, остально идет нормально через прова
если надо что то еще выше писали

Цитата:

можно заюзать опять же любой мэппер

это кстати Afina: тебе в помощь, думаю в гугле задать правильный запрос будет не сложно

BDSM какой то

бдсм ходит в yandex через USA IP

ну зачем сразу БДСМ то ?) у фетишей много подниш, и ssh-туннель - одна из самых лёгких )
мне удобнее юзать ssh-туннель, потому как:
- обычно, на серваке я юзаю несколько исходящих ИПов, и с какого я хочу выйти в данный момент, указывается одной галкой в proxifier
- в принципе, нет никакого изврата, всё настраивается (по сути конфиг сокса из 7-8 правил) один раз на сервере, и один раз на мобильной флешке
- используя связку Proxifier/Entunnel я могу гибко конфигурить политики исходящего трафика (не только дефолтовый раутинг, но и какие проги нужно соксифицировать, какие нет, какие ИПы идут через проксю, какие нет, их диапазон и прочее)
- сразу же удобнее делать цепочки проксей, сразу в одном только Proxifier, без лишнего софта
так же, опен впн как бы тоже нужно ставить и конфигурить, а по скорости настройки ssh-туннели подымаются примерно так же, если не быстрее

так же можно обойтись самим ssh, но так не извращался, так как мне проще проксю поставить)

Если на linux, то можно использовать разных юзеров под разные цели.. И с помощью iptables рулить правилами (т.е. допустим user1 пускается через интерфейса tun0 openvpn), user обычный через ppp0 и тд.. Таким образом, даже если впн отвалится user1 не пойдет никуда..

Это очень удобное решение само по себе так можно ЛЮБУЮ абсолютно прогу пустить от нужного юзера и получить нужный IP на выходе.

http://linuxpoison.blogspot.com/2010/11/how-to-limit-network-access-by-user.html

http://www.jespercheetah.dk/page/howtos/owner_based_routing

На винде можно в принципе юзать VMWare/VirtualPC отдельную и ее уже роутить через VPN, entunnel также вариант, один из самых простых, ну и putty тупо можно юзать

Чета народ по ходу вообще не понял о чем я )

картинкой бы все это дело нарисовать, а для наглядности лучше анимированной
вот запрос на гугл
вот он шифруется на вашей машине
вот он пакетами пошел на впн
а вот лезем на фтп, который стоит на впн на том же айпи
и нифуя он не шифруется
и даже не особо важно почему

Да кому надо тот и понял, я не думал кстати что админы так делают.
А вообще сверху к тому еще и стараться везде юзать https и sftp.

впн надо на корпоративный рутер на площадке бросать. тогда всё заебок а еще и ентерпрайзненько

охуеть , у вас че на серваках по 1 ипу? Делаете впн на 1 ип, админки, фтп и че там еще надо на другой и все шифруется наотличненько [*]