(δικό μας) VPN και ασφάλεια

[kiriakk]

έχω σετάρει το VPN (server) στο ρούτερ μου
και έχω εγκαταστήσει open VPN clients στα κινητά της οικογένειας και το δικό μου

στους άλλους για να μπορούν να μπαίνουν στο ιντερνετ από ανοιχτά wifi σε καφετέριες κλπ

για μένα πιο πολύ για να μπορώ να έχω πρόσβαση στο NAS από έξω για κάποια αρχεία που χρειάζομαι μερικές φορές



και τώρα οι ερωτήσεις του αρχάριου:

θεωρείτε ότι με τον τρόπο αυτό είναι ασφαλής η χρήση ξένων (ελεύθερων ή με password ) wifi ή να γίνεται χρήση μόνο όταν είναι απαραίτητο ή καλύτερα καθόλου;

επίσης να ενεργοποιήσω και two factor authantication με one time passwords για την πρόσβαση στο VPN ή το θεωρείτε υπερβολή;

(στους άλλους άμα θέλω μπορώ να δώσω πρόσβαση μόνο για internet και όχι πρόσβαση στο LAN)

κάτι άλλο κρίσιμο υπάρχει που πρέπει να γνωρίζω;


πιστεύω ότι το θέμα ενδιαφέρει αρκετούς

[bannedteam]

αν μας πεις τι εξοπλισμό έχεις τότε θα μπορούμε να σε βοηθήσουμε

[jkoukos]

Προσωπικά δεν χρησιμοποιώ password ή 2 factor authentication, αλλά κάνω χρήση ξεχωριστού PSK κλειδιού για κάθε συσκευή μέσω του TLS-Auth.
Δες γενικές πληροφορίες σε ένα σχετικό άρθρο όσον αφορά την ασφάλεια της επικοινωνίας σε Openvpn.

Όσο είναι ενεργό το VPN και όλη η κίνηση γίνεται μέσω αυτού, δεν υπάρχει θέμα. Το πρόβλημα είναι στα λίγα αρχικά δευτερόλεπτα μέχρι να σηκωθεί το tunnel (φυσικά και στην περίπτωση που για Χ λόγους διακοπεί), αν θα γίνει επικοινωνία και τι πληροφορίες θα διακινηθούν.

[kiriakk]

ευχαριστώ για τις απαντήσεις

@bannedteam
για ρούτερ έχω εγκαταστήσει το sophos XG σε ένα mini PC, εκεί τρέχει ο VPN server

@jkoukos
πολύ ενδιαφέρον άρθρο, θα το δω (τώρα πόσα από αυτά θα μπορέσω καταλάβω ή να σετάρω, είναι άλλη ιστορία)

"μέχρι να σηκωθεί το tunnel" -> εννοείς φαντάζομαι κίνηση άσχετη με το "σήκωμα" του tunnel

[jkoukos]

Για να βγεις π.χ. με το κινητό μέσω VPN και τον δικό σου router στο διαδίκτυο, χρειάζεται να συνδεθείς σε κάποιο ασύρματο δίκτυο.
Από την στιγμή που θα συνδεθείς σε αυτό και μέχρι ο VPN client του κινητού συνδεθεί με τον server και ανοίξει το tunnel, δεν υπάρχει ασφάλεια και οποιαδήποτε επικοινωνία σε αυτό το μικρό χρονικό διάστημα δυνητικά μπορεί να καταγραφεί.

[bannedteam]

η πιο safe υλοποίηση είναι η εξής :

3 διαφορετικά δίκτυα :
1 για επισκέπτες με πρόσβαση μόνο στο ιντερνετ,
1 για την οικογένεια σου με πρόσβαση στο εσωτερικό δίκτυο (NAS κλπ)
1 δίκτυο VPN το οποίο θα σου επιτρέπει να βλέπεις το εσωτερικό σου δίκτυο απομακρυσμένα.

[kiriakk]

ευχαριστώ παιδιά, κατάλαβα,
θα κάνω κάποιες αλλαγές για επιπλέον ασφάλεια αργότερα, αφού καταλάβψ το θέμα λίγο καλύτερα,
και θα τις ποστάρω , αν τυχόν ενδιαφέρεται κανείς