1 votos

¿VPN, puente, router o firewall?

Por favor, ayudarme a entender que la implementación de la ruta a tomar para la siguiente tarea:

Tengo una caja negra dispositivo que actúa como un servidor web (me puedo conectar a nivel local, escribiendo su dirección IP en el campo dirección del navegador.) El cuadro no implementar las medidas de seguridad, excepto el simple nombre de usuario y una contraseña. Este es sin duda muy bien cuando este servidor está en una red aislada, pero deseo tener el acceso a él desde internet - que es desde cualquier parte del mundo. Con esto, quiero usar TLS de seguridad para el cifrado de datos.

Tener un Rasbperry PI disponible (y openVPN software), pensé que encajaría con esta aplicación. Hay muchos tipos diferentes de tutoriales sobre cómo implementar VPN, bridge, router y firewall usando Raspberry PI, pero no puedo averiguar que uno de los cuatro funcionalidades es el adecuado para mi aplicación. El diagrama conceptual se muestra a continuación:

enter image description here

La Raspberry Pi tiene dos interfaces de red para acceso a internet: uno a través del suelo ethernet (eth0), el otro - el uso de celulares de internet (eth1) - que cada vez está disponible favoreciendo el suelo de conexión a internet. Las direcciones IP para ambas interfaces se conocen. La tercera interfaz ethernet (eth2) será conectado a la red local a través del interruptor. El servidor estará conectado al switch. No tengo control sobre el servidor (es una caja negra) - sólo sé su dirección IP.

La idea es tener la Raspberry PI para actuar como un intermediario entre el yo y el servidor, para que yo pudiera conectarse de forma segura a su aplicación web usando mi navegador web. Pero que la funcionalidad de la Raspberry Pi debe implementar: una VPN, router, bridge o firewall?

3voto

Robear Puntos 161

TLDR;

Usted necesita un servidor de seguridad para proteger su servidor web, y el router probablemente ya proporciona esta funcionalidad.

DETALLES

Todo lo que necesitas es un servidor de seguridad y SSL para proteger su servidor web. Si el router de su casa ya que proporciona a esta, entonces la Raspberry Pi no va a dar más seguridad.

Usted debe utilizar SSL para proteger la comunicación con el servidor web. Usted podría utilizar la Raspberry Pi como un proxy inverso para proporcionar funcionalidad SSL, pero a la inversa proxies existen porque el cifrado SSL es calcular pesada y el proxy se lleva la carga SSL de servidor web. El Pi tiene probablemente mucho menos calcular que el servidor web, aunque. Pero si usted está buscando para un proyecto Pi, que podría ser divertido.

Un error común es que el VPN es "más seguro" que sin. Una VPN es simplemente cifrado + túnel. El túnel es lo que permite que ambas redes se creen que están en la misma red. A menos que usted está tratando de "casarse" dos redes, usted no necesita VPN. SSL + firewall debe estar bien.

enter image description here

1voto

porto alet Puntos 315

La solución más sencilla sería la de configurar su Pi como un router/firewall del dispositivo - es decir, usted quiere firewall de solicitudes al servidor web, de modo que sólo se le atraviesan el PI si vienen a través de la interfaz VPN que termina en él, pero no aislar el Pi de otros dispositivos en la LAN. Esto significa que sólo funcionará todas las conexiones de Internet son forzadas a través de la Pi como por su diagrama. Si otro dispositivo en la LAN está en peligro, el acceso al servidor web que pueden ser adquiridas a través de él.

(Si usted está después de una solución simple, y moderadamente segura solución puede ignorar todo lo de abajo)

Hay más complejas y costosas de escenarios que podría utilizar en su lugar. En lugar de utilizar regularmente un interruptor, se puede utilizar un conmutador administrado y configurar el servidor web en su propia VLAN que sólo es visible a la Pi (es decir, el Pi se hable en varias VLAN). Usted también pondría el servidor web en su propia dirección IP, la cual permite a otros dispositivos en la LAN para hablar con él, pero sólo a través de la Pi.

Usted puede ampliar aún más sobre el interruptor de la idea anterior, por los cortafuegos de la VLAN que el servidor web está en que sólo los paquetes que se originan en la VLAN de la interfaz de la PI puede hablar en el puerto 80. A continuación, puede agregar un proxy inverso (por ejemplo Apache) para la Pi, que puede responder en el puerto 443 y, a continuación, las solicitudes de obtención desde el servidor web en el puerto 80. Mediante el uso de un cliente y certificado regular puede garantizar que sólo las personas que pueden tener acceso al router, y las personas con un certificado de cliente será capaz de conectar.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: