VPN 수신/발신 분리(해커 보호 전용)

VPN 수신/발신 분리(해커 보호 전용)

그래서 기존 질문과 답변을 살펴보니 일치하는 항목이 없었습니다.

아주 간단합니다. 제가 원하는 것은 VPN을 통한 인바운드 연결과 VPN을 완전히 우회하는 아웃바운드 연결뿐입니다. openvpn을 사용하는데 어떻게 해야 하나요?

왜. 해커 보호는 필요하고 비용도 거의 들지 않는 반면, 시스템 전체의 아웃바운드 개인 정보 보호에는 비용이 너무 많이 들기 때문입니다. 원시 속도: 75MBPS VPN: 6MBPS Apt 또는 Git 포스트 VPN: 0.5MBS

따라서 모든 인바운드 트래픽이 VPN을 통과하도록 하고 모든 아웃바운드 트래픽이 VPN 외부를 통과하도록 허용하십시오. OpenVPN과 debian을 사용하면 어떻게 되나요?

답변1

VPN은 물리적 네트워크 위에 네트워크 "계층"을 생성하여 작동하므로 "가상" 구별이 가능합니다. 개인 측에는 여전히 수신 IP 주소가 있습니다. 실제로 물리적 연결이 가상 연결의 기초이기 때문에 그렇게 해야 합니다.

VPN은 원격 서버가 수신 IP를 볼 때 사용자의 IP가 아닌 VPN의 IP이기 때문에 익명성을 제공합니다. IP에서 VPN 서비스로의 트래픽은 표시되지만 전체 페이로드는 암호화되므로 관찰자는 트래픽이 VPN 서비스로 이동하고 있다는 것만 알 수 있으며 반대쪽 끝에서는 무엇이 튀어나오는지 알 수 없습니다.

이는 보안과는 다릅니다. VPN 서비스 자체는 어떤 유형의 패킷 필터링이나 수신 보호도 추가하지 않습니다. IP만 차단하는군요당신의최종 목적지 관점에서 트래픽 소스로 위장하여 종료됩니다.

이제 들어오는 트래픽에 대해 이야기하겠습니다. 실제로 두 가지 유형이 있습니다 -대답하다귀하가 웹 페이지를 방문할 때 웹 서버 응답과 같은 로컬에서 시작된 트래픽새로운시스템에서 제공하는 서비스에 대해 표면적으로 원격으로 설정된 연결입니다.

기존 연결이 손상될 수 있다고 가정합니다. 일반적으로 이는 악의적인 행위자가 요청, 응답 또는 둘 다에 임의의 데이터를 주입할 수 있는 중간자 상황입니다. 실제로는 이론적으로 HTTPS, SSH 호스트 키 확인 등을 통해 이에 대해 보호할 수 있습니다. 신뢰할 수 없다면 인터넷을 전혀 사용하지 않는 것이 좋습니다. VPN은 이를 변경하지 않고 MiTM 창을 "컴퓨터 외부"에서 "VPN 외부"로 이동할 뿐입니다. 따라서 VPN만으로는 이 문제를 해결할 수 없습니다.

하지만 더 많은 것이 있습니다. VPN을 통해 설정된 연결은 로컬 주소가 아닌 나가는 VPN 주소와 연결됩니다. 본질적으로 VPN의 요점은 트래픽의 최종 목적지가 로컬 원본 IP를 볼 수 없다는 것입니다. 그렇죠? 그렇다면 최종 목적지는 VPN을 우회하고 사용자에게 직접 응답을 보내는 방법을 어떻게 알 수 있을까요?

있다고 해도요청하는 IP가 아닌 다른 IP에 대한 응답을 요청하는 방식은 보편적으로 지원되지 않을 수 있습니다. 이를 지원하는 모든 서비스는 "원래" IP를 확인할 수 없기 때문에 간단히 다음과 같이 할 수 있습니다. 값싼 요청을 하고 값비싼 응답이 많은 IP를 공격하고 해당 IP에 응답하라고 지시합니다. 손상된 IP는 모든 트래픽을 삭제하지만 IP에 불법 트래픽이 넘쳐 서비스 거부가 발생할 수 있습니다.

이는 TCP가 작동하는 방식이 아닙니다. "단순히" 주소 A에서 연결을 설정하고 주소 B로 응답을 보낼 수는 없습니다.

그래서 저는 VPN을 선택했습니다.

  • 귀하가 걱정하는 "해커"에 대해 그 자체로는 어떠한 보호도 제공하지 않습니다.
  • 요청한 IP가 아닌 다른 IP에 대한 응답은 어떠한 방식으로도 지원되지 않으며, 지원되지 않을 수도 있습니다.

음, 새로운 연결이 훨씬 쉽습니다. 자체 VPN을 관리하는 경우 들어오는 연결을 로컬 컴퓨터로 전달하도록 설정할 수 있습니다. 그러나 방화벽 및 수신 보호 측면에서 기본적으로 추가할 수 없는 보안은 추가되지 않습니다. 앞서 설명했듯이 VPN은 이를 제공할 수 없습니다. 또는 VPN 없이 들어오는 연결을 수락할 수 있습니다(이 경우 VPN에 대한 부분 경로가 있어야 하며 더 일반적으로 전송모두VPN을 통해 트래픽을 라우팅하지만 openVPN의 기능은 확실히 VPN을 통해 일부 트래픽만 라우팅하는 것입니다. 그럼에도 불구하고 VPN 자체는 트래픽에 대해 어떤 유형의 필터링도 수행하지 않습니다. 이러한 사악한 그룹이 이미 해당 연결을 목표로 삼고 있다면 VPN의 반대편을 공격할 수도 있습니다.

시스템에 제공되는 서비스를 보호하는 가장 쉬운 방법은 해당 서비스를 종료하는 것입니다. 전용 호스트의 다른 곳에서 실행하거나 이 서비스를 인터넷에 제공해야 하는 경우 어떤 방식으로든 서비스를 보호해야 합니다. 해커가 걱정되는 경우 모든 포트를 수신하는 것이 시스템에 액세스할 수 있는 가장 가능성이 높은 방법이며 이를 방지하는 가장 쉬운 방법은 시스템에 대한 새로운 연결을 전혀 허용하지 않고 해당 포트에서 발생하는 연결만 허용하는 것입니다. 연결 관련 트래픽 . 체계.

그러나 다시 한번 말씀드리지만 이는 VPN과는 전혀 관련이 없습니다. VPN 서버 또는 자체 서버에서 이러한 작업을 수행할 수 있습니다.

당신에게 내 조언은? 다음과 같은 경우를 제외하고는 워크스테이션의 올바른 보안 관행에 집중하세요.부분적인 온라인 익명성심각한 목표가 있다면 VPN을 버리세요. 당신이 생각하는 대로 작동하지 않습니다. 이 글을 읽고 나면 그 이유가 분명해지기를 바랍니다.

답변2

에서 만든 인터페이스에 제공하는 모든 서비스를 제공하기만 하면 됩니다.VPN 서버, 이 컴퓨터에서 실행해야 합니다. 그 외에는 공용 IP에서 사용할 수 있는 유일한 VPN 서비스를 갖게 됩니다. 이는 나가는 연결에 영향을 미치지 않습니다. 또한 VPN에서 들어오는 모든 트래픽을 금지하고 다른 곳으로 나가려고 시도하여 해당 서버를 통해 터널링할 수도 있습니다.

관련 정보