Moje představa je, že Firewalla se připojuje k něčemu v cloudu, co funguje jako proxy.. ale nenašel jsem o tom žádné info.
Jen se ptám, jestli někdo ví, jak funguje VPN typu WireGuard na Firewalla.. je tam otevřený port, ale aktivně odmítá, pokud počáteční spojení nemá certifikát klienta?
Stejně tak, jak je možné přistupovat k Firewalla zvenčí vaší domácí sítě.. jak to dělá, aniž by vystavoval porty ven?
WireGuard používá UDP port, který neodpovídá, pokud nedostane platný klíč. Takže port je otevřený, ale svět to nezjistí.
Použil jsem TailScale, abych se tomu vyhnul. Pamatujte, je zde rovnováha… na jedné straně je pohodlí a na druhé bezpečnost. Nikdy se tyto dvě věci nesetkají.
WireGuard a OpenVPN mají určitě otevřený port stejně, jako SSH, ale jedná se o UDP port, takže váš oblíbený skener portů ho pravděpodobně nezjistí, pokud máte na mysli to, že není otevřený port.
Je možné mít pre-auth útok? Pravděpodobně ano, ale zatím k tomu nedošlo. Podívejte se například na SSL VPN od Fortinetu, kde došlo ke 3 pre-auth zero-day zneužitím.
Reverzní proxy do cloudu se vyhýbá otevřenému portu, ale má své vlastní kompromisy – vaše služba reverzního tunelování může mít své zranitelnosti a viděl jsem, že velmi málo lidí píše sandboxing nebo lokální firewallové pravidla pro omezení provozu reverzního tunelu pouze na jeden port, místo generování jakéhokoliv místního provozu klienta tunelování v cloudu.
Prakticky vzato, většina takových služeb (Cloudflare, ngrok atd.) má komplikované přenosové pásmo a latencí, což je v pořádku pro hosting webových stránek, ale nemusí to být ideální pro vše, co chcete dělat s VPN. Navíc mají téměř jistě zařízení pro inspekci hloubkových paketů, která váš ISP / nedůvěryhodný Wi-Fi administrátor možná nemá.
Nikdy jsem si nemyslel, že je to možné. Je úžasné, jak toho všechno je schováno za scénou.
Chápu.. ale to znamená, že je to potenciální útočná cesta.. pokud by existovala zranitelnost vůči WireGuardu. Předpokládám, že část kódu pro vyjednávání spojení je docela zabezpečená.
No, to platí pro cokoli, co poslouchá na otevřeném portu. Nemůžete se tomu vyhnout, pokud chcete, aby server poslouchal požadavky. Takže kód serveru je další klíč k bezpečnému spojení.
Ve skutečnosti můžete, ale komunikace by šla přes proxy. Představme si, že Firewalla provozuje cloudovou proxy a připojí se k ní, pak VPN klient připojený do proxy by směroval provoz dovnitř a ven z vaší domácí sítě přes proxy.. to by eliminovalo otevřený port na vaší domácí síti v takové míře, že byste nemohli cílit na vaši domácí síť v útoku, ale posunulo by to pouze útočnou plochu na proxy.. takže žádný velký zisk.
Technicky vzato, jde o reverzní proxy, a jak říkáte, jen přesouváte místo, kde se VPN připojuje, ale spojení je stejné. Pokud je reverzní proxy prolomena, má přístup vaši síť.
Popisujete Tailscale… nebo Cloudflare tunely…
To prostě přesouvá váš otevřený port na jiné zařízení, které stále může být napadeno a které musí mít přístup přes port na vašem firewallu.