我在工作时在路由器上启用了 OpenVPN,这样我们就可以将 NAS 和 RDP 等不同的设备连接到那里的计算机,而无需打开这些端口到互联网。
我刚刚注意到一个值得担忧的问题是,客户端密钥文件必须与每个客户端共享。如果一个人感染了病毒,然后攻击者下载了这些文件,他们就可以轻松地通过 VPN 连接并访问我们的整个网络。(正确吗?)我该如何防止这种情况发生?
VPN 服务器位于路由器上,因此我无法控制整个过程。我只需启用 VPN,然后单击“下载”,即可下载所有必要的密钥和证书。
使用 VPN 的全部目的是使用 RDP 的更安全的方法,但它似乎可能会产生更多潜在的攻击方法。
答案1
在允许客户端建立 VPN 连接之前,您可以采用其他形式的身份验证,结合 fail2ban 和禁止警报之类的功能,可以阻止任何未经授权的连接,阻止重复尝试并发出警告,以便您采取行动。
更多信息:https://openvpn.net/community-resources/using-alternative-authentication-methods/
答案2
我刚刚注意到一个值得担忧的问题是,客户端密钥文件必须与每个客户端共享。如果一个人感染了病毒,然后攻击者下载了这些文件,他们就可以轻松地通过 VPN 连接并访问我们的整个网络。(正确吗?)我该如何防止这种情况发生?
本质上是正确的。减少这种情况的方法是除了密钥之外,还使用用户名和密码。OpenVPN 支持 -它们可以结合起来。
如果您需要更强的安全性,您可以将证书存储在智能卡中。智能卡可以使用密钥执行操作,但不会提供密钥的副本,因此它们实际上是不可复制的密钥存储;如果您有卡,您就知道只有您有密钥。
使用 VPN 的全部目的是使用 RDP 的更安全的方法,但它似乎可能会产生更多潜在的攻击方法。
任何能够读取 OpenVPN 机密的恶意软件都可能记录 RDP 密码。VPN 的目的是减少公共互联网上的攻击面;您不必担心 RDP 和 SMB 等是否安全 - 您只需要担心单个软件是否安全。维护和保护一个界面更容易。