두 개의 OpenVPN 클라이언트(A와 B)에 대한 공통 설정이 있으며 둘 다 서버 S에 연결되어 있습니다.이것문제는 각 클라이언트가 서버와의 암호화된 채널을 가지고 있지만 서버가 트래픽을 다른 클라이언트로 라우팅하기 위해 암호화를 제거한다는 것입니다. 내가 아는 바로는, 서버가 손상되면 공격자는 S 내부에서 A와 B 사이의 암호화되지 않은 트래픽을 볼 수 있습니다. 내가 맞나요? 그렇다면 이 경우 텔넷(예를 들어)을 사용하는 것이 안전하도록 A와 B 사이에 일종의 종단 간 암호화를 강제할 수 있는 방법은 무엇입니까?
답변1
원칙적으로 양파형 레이어에서 OpenVPN을 사용하는 것이 가능합니다.
레이어 1(L1)을 변경하지 않고 유지해야 한다고 가정합니다.
- S는 여전히 L1 개방형 VPN 서버입니다.
- A와 B는 L1 서버 S의 L1 클라이언트 역할을 합니다.
L1 아래에 다음과 같이 L2를 추가합니다.
- A를 L2 개방형 VPN 서버로 사용
- B는 L2 서버 A의 L2 개방형 VPN 클라이언트 역할을 합니다.
이 설정을 사용하면 A와 B가 모든 민감한 정보를 L2를 통해 전송한다고 가정하면 손상된 S L1 서버는 L2 트래픽을 도청할 수 없습니다.
답변2
예, 서버가 손상되면 트래픽도 위험해집니다. 당신이 요구하는 것은 라우터가 아닌 호스트 사이에 보안 채널을 갖는 것입니다. 즉, 호스트에 터널을 설정하고(하나는 서버로, 다른 하나는 클라이언트로) 포트 전달을 설정해야 합니다(서버가 NAT 다음 어딘가에 있음).
답변3
간단한 대답은 다음과 같습니다. 일반 텍스트 트래픽을 읽기 위해 손상된 중개 시스템을 가장하려는 경우 중개 시스템이 없어야 합니다. 이러한 방식으로 통신하려면 각 시스템 쌍 사이에 (라우팅되지 않은) 지점 간 VPN 터널을 설정해야 합니다. 물론 각 터널마다 인증서나 다른 사전 공유 키를 사용해야 합니다.