VPN受信/発信分離(ハッカー保護のみ)

tag-icon tag-icon debian ubuntu networking openvpn
VPN受信/発信分離(ハッカー保護のみ)

それで、既存の質問と答えを見てみると、一致するものはありませんでした。

とても簡単です。私が望むのは、VPNを介したインバウンド接続とVPNを完全にバイパスするアウトバウンド接続だけです。 openvpnを使用するにはどうすればよいですか?

なぜ。ハッカーの保護は必要で費用がかかりませんが、システム全体のアウトバウンドプライバシーにはコストがかかりすぎるからです。生速度:75MBPS VPN:6MBPS AptまたはGitポストVPN:0.5MBS

したがって、すべてのインバウンドトラフィックがVPNを通過し、すべてのアウトバウンドトラフィックがVPNの外を通過することを許可します。 OpenVPNとdebianを使用するとどうなりますか?

ベストアンサー1

VPNは、物理ネットワーク上にネットワーク「階層」を作成して動作するため、「仮想」区別が可能です。個人側にはまだ受信IPアドレスがあります。実際、物理接続は仮想接続の基礎であるため、そうする必要があります。

VPN は、リモート サーバーが受信 IP を表示するときにユーザーの IP ではなく VPN の IP であるため、匿名性を提供します。 IPからVPNサービスへのトラフィックは表示されますが、ペイロード全体が暗号化されているため、オブザーバーはトラフィックがVPNサービスに移動していることに気づき、反対側では何が飛び出しているのかわかりません。

これはセキュリティとは異なります。 VPN サービス自体は、どのタイプのパケットフィルタリングや受信保護も追加しません。 IPだけをブロックします。あなたの最終目的地の観点からトラフィックソースに偽装して終了します。

それでは、着信トラフィックについて話しましょう。実際には2つのタイプがあります -答えるウェブページにアクセスしたときのウェブサーバーの応答など、ローカルで開始されたトラフィック新しいシステムによって提供されるサービスに対してリモートで表面的に確立された接続。

既存の接続が破損する可能性があるとします。通常、これは悪意のある行為者が要求、応答、またはその両方にランダムなデータを注入できる中間者の状況です。実際には、理論的にはHTTPS、SSHホストキー検証などを介してこれを保護できます。信頼できない場合は、インターネットをまったく使用しないことをお勧めします。 VPNはこれを変更せずにMiTMウィンドウを「コンピュータの外部」から「VPNの外部」に移動するだけです。したがって、VPNだけではこの問題を解決できません。

しかし、もっとたくさんあります。 VPNを介して確立された接続は、ローカルアドレスではなく発信VPNアドレスに関連付けられます。本質的に、VPNの重要な点は、トラフィックの最終宛先がローカルソースIPを見ることができないことです。そうですか?それでは、最終的な宛先はVPNをバイパスし、ユーザーに直接応答を送信する方法をどのように理解できますか?

あるとしてもはい要求するIP以外のIPへの応答を要求する方法は、普遍的にサポートされていない可能性があります。これをサポートするすべてのサービスは「元の」IPを確認できないため、簡単に次のようにできます。安価なリクエストを行い、高価なレスポンスが多いIPを攻撃し、そのIPに応答するように指示します。破損したIPはすべてのトラフィックを破棄しますが、IPに違法トラフィックが溢れてサービス拒否が発生する可能性があります。

これはTCPが機能する方法ではありません。 「単純に」アドレスAで接続を確立し、アドレスBに応答を送信することはできません。

だから私はVPNを選択しました。

  • あなたが心配する「ハッカー」に対してそれ自体はいかなる保護も提供しません。
  • 要求されたIP以外のIPへの応答は、いかなる方法でもサポートされておらず、サポートされていない可能性があります。

まあ、新しい接続ははるかに簡単です。独自のVPNを管理している場合は、着信接続をローカルコンピュータに転送するように設定できます。ただし、ファイアウォールと受信保護の観点からデフォルトで追加できないセキュリティは追加されません。前述のように、VPNはこれを提供できません。または、VPNなしで着信接続を受け入れることができます(この場合はVPNへの部分パスが必要です。みんなVPNを介してトラフィックをルーティングしますが、openVPNの機能は間違いなくVPNを介して一部のトラフィックのみをルーティングすることです。それにもかかわらず、VPN自体はトラフィックに対してどのようなフィルタリングも行いません。これらの邪悪なグループがすでにその接続を目指している場合は、VPNの反対側を攻撃する可能性があります。

システムに提供されるサービスを保護する最も簡単な方法は、そのサービスを終了することです。専用ホストの他の場所で実行する場合、またはこのサービスをインターネットに提供する必要がある場合は、何らかの方法でサービスを保護する必要があります。ハッカーが気になる場合は、すべてのポートを受信することがシステムにアクセスする最も可能性の高い方法であり、これを防ぐ最も簡単な方法は、システムへの新しい接続をまったく許可せず、そのポートで発生した接続のみを許可することです。です。接続関連のトラフィック。システム。

しかし、もう一度申し上げますが、これはVPNとはまったく関係ありません。 VPNサーバーまたは独自のサーバーでこれらのタスクを実行できます。

あなたに私のアドバイスは?以下の場合を除き、ワークステーションの正しいセキュリティ慣行に焦点を当ててください。部分的なオンライン匿名性深刻な目標がある場合は、VPNを捨ててください。あなたが思うように動作しません。この記事を読んだら、その理由が明らかになることを願っています。

おすすめ記事