我在局域网中设置了一个本地服务器,并有一个始终开启的 openVPN 客户端。因此,该服务器的公共 IP 地址与其所连接的路由器的公共 IP 地址不同。
如果我拥有一个域名,并添加了指向服务器公共 IP(由 vpn 设置的 IP)的 DNS A 记录,那么我就可以使用以下方式访问我的 Web 服务http://my-domain.com:<port>:这种连接有多容易受到攻击?
添加 SSL 证书是否可以消除上述漏洞(如果有)?
答案1
如果我理解正确的话,您的 LAN 上有一个服务器,可以通过公共互联网访问。
这意味着如果服务器存在漏洞(例如 Wordpress 等 Web 应用程序的设置不安全或过时),攻击者可能会在公共互联网上利用这些漏洞。此外,攻击者可以从这台被利用的服务器传播到内部 LAN 上的其他系统。
使用 VPN 来使该服务器可访问是无关紧要的,因为它不会为服务器增加保护,而只会改变可访问的公共 IP。
类似地,HTTPS 不会减少攻击面,因为它仅保护客户端(因此也是攻击者)与服务器之间的通信,而不保护服务器本身。事实上,HTTPS 增加了设置的复杂性,因此实际上可能会增加攻击面。
答案2
我认为答案是否定的。HTTP 仍然可以在服务器或客户端的本地主机上被拦截。在当今的安全世界中,打砸抢已经结束,静坐倾听更有成效。考虑这样一个场景:系统做存在可利用的漏洞,不法之徒获得访问权限。然后坐视不管,窃取与网站交互的用户数据。例如,尝试使用 Wireshark 在本地计算机上捕获到 HTTPS 网站的数据包。fiddler 和 burpsuit 之类的东西可以使用明显的 MITM 和易于检测的方法来实现这一点,但被动地不行。出于多种原因,始终使用 HTTPS。我的 0.02 美元...
HTTPS 在套接字级别上实现安全保护。
当您评论“一开始就没有任何漏洞是最好的。”是的,这是真的,但任何服务都不可能诚实地声称这一点,如果他们这样做,他们充其量是无知的,最坏的情况是推销员。每天都会发现前一天完全未知的事物存在漏洞。包括 TLS,但它是我们拥有的最好的,所以应该使用它。