OpenVPN 설치를 구성했습니다. 모드: 다중 클라이언트 1 서버.
고객은 모두 라즈베리입니다. 파일을 훔친 다음 하드 드라이브에서 키+인증서+구성을 찾는 것이 얼마나 쉬운지 알아냈습니다. 노트북에 복사하고 VPN에 연결하세요...
저는 이것에 대해 아무것도 모릅니다. 이러한 일이 발생하지 않도록 방지할 수 있는 좋은 방법이 있습니까?
디스크 암호화?
감사해요.
답변1
아주 소수의 예외를 제외하고 누군가가 귀하의 하드웨어를 손에 넣는 경우 전체 스토리지에 액세스하고 복사하기만 하면 모든 것을 복사할 수 있습니다.
추가 암호화는 도움이 될 수 없습니다. 디스크가 암호화된 경우 디스크 암호화 키를 어딘가에서 읽을 수 있어야 합니다. 해당 시나리오에서는 디스크 암호화가 쓸모가 없습니다.
스마트 카드와 같은 일부 하드웨어는 쉽게 복사할 수 없습니다. 하지만 스마트카드 리더기를 RPi에 연결하더라도 도둑이 Pi를 이용해 카드를 훔칠 수 있습니다.
SD 카드가 암호화되어 있으면 다른 사람이 Pi 또는 SD 카드를 훔치거나 빌리는 것을 방지할 수 있습니다.그리고 도둑은 열쇠를 얻을 수 없습니다. 이는 Pi를 부팅하려면 귀하 또는 귀하가 신뢰하는 사람이 비밀번호를 입력하거나 USB 키 암호화 키가 포함된 SD 카드를 삽입해야 함을 의미합니다. 이는 완벽한 보호가 아닙니다. 누군가가 RAM을 버릴 수 있지만 RAM이 Pi에 납땜되어 있기 때문에 상대적으로 어려운 하드웨어 공격입니다. RPi에 예산이 부족하다면 그렇게 높은 저항이 필요하지 않을 수도 있습니다.
변조 방지 키 저장소가 통합된 일부 하드웨어 플랫폼이 있습니다.완전한 생산 관리PC 플랫폼에서는 ARM 시스템온칩신뢰 영역및 하드웨어 신뢰 루트(CPU 기능인 TrustZone만으로는 충분하지 않음). 하드웨어 비용은 Raspberry Pi보다 훨씬 높습니다. 이러한 시스템도 도난을 방지할 수는 없으며 도둑이 클라이언트 장치를 복사하는 것을 방지할 뿐입니다.
보호를 위한 또 다른 경로는 물리적 보호입니다. 즉, 건물 고정물에 단단히 고정된 잠긴 상자에 장비를 배치하는 것입니다.
공격자가 클라이언트 장치에 물리적으로 접근하는 것을 막을 수 없다면, 그들이 귀하의 키를 훔치는 것도 막을 수 없습니다. 당신이 할 수 있는 일은 도난을 탐지하는 것뿐입니다. 예를 들어, 여러 클라이언트가 동일한 클라이언트 인증서를 사용하여 나타나면 뭔가 잘못된 것입니다. 그러나 어느 클라이언트가 합법적인지 알 수 없으면 모든 클라이언트에 대한 액세스를 허용할지 아니면 액세스를 거부할지 어려운 결정에 직면하게 됩니다. 합법적인 고객에게).
답변2
키를 생성할 때 해당 키의 만료 날짜를 설정할 수 있습니다. 합법적인 사용자가 자신의 장치에서 클라이언트 키를 업데이트할 수 있다고 가정하면 상대적으로 짧은 시간 후에 키가 만료되도록 설정할 수 있습니다. 이렇게 하면 장치를 도난당한 경우 잠재적인 노출 기간이 제한됩니다.