web-dev-qa-db-ja.com

セキュリティ:複数のVPNユーザー

ファイアウォールの背後にいくつかのサービスをホストするサービスプロバイダーがいるとします。 2つの異なる企業がVPNを介してサービスプロバイダーのネットワークに接続しています。 (インターネット経由でアクセスできないサービスを使用するには)各企業には独自のVPNトンネルがあります。 A社はB社のトラフィックを読み取り/リダイレクト/ミットできますか?

トンネル自体は安全です。両方の接続がサービスプロバイダーのネットワークで終端するとどうなりますか?セキュリティ上のリスクはありますか?攻撃ベクトルまたはセキュリティリスクとは何ですか?

1

A社はB社のトラフィックを読み取り/リダイレクト/ミットできますか?

プロのVPNサービスではありません。安全なネットワーク構成は、これらのサービスの基本的なプロパティです。ですから、評判の良いVPNサービスであれば、この攻撃が不可能になるようにネットワークを構成すると思います。

両方の接続がサービスプロバイダーのネットワークで終端するとどうなりますか?

最小限に設定されたネットワークでは?面白いことは何も起こりません。 VPNサーバーは、ベンダーに応じてインターフェース分離ユーザー分離ゲスト分離、またはこのようなもので構成されます。つまり、ゲストからのトラフィックはゲートウェイにのみ送信でき、同じネットワーク上の他のアドレスには送信できません。また、ゲートウェイは、内部ネットワークから内部ネットワーク上の別のアドレスにパケットをルーティングしないように構成されています。

セキュリティ上のリスクはありますか?攻撃ベクトルまたはセキュリティリスクとは何ですか?

主なセキュリティリスクは、なんらかの設定ミスです。しかし、評判の良いVPNプロバイダーは、ほとんどの場合、それに対処するための変更管理プロセスを備えています。

だからリスクはないの?すべてのインフラストラクチャを制御しないと、常にリスクが伴います。しかし、リスクは見かけよりも低くなっています。自分の従業員が物事を誤って管理したり、内部サーバーへの外部アクセスを許可したり、資格情報を漏洩したりする可能性があることを考慮に入れてください。

1
ThoriumBR

各VPN接続には、会社Aと会社Bの両方がサービスプロバイダーを信頼し、サービスプロバイダーもそれらを信頼しているという主なリスクが伴います。

理想的には、サービスプロバイダーにファイアウォールルールセットがあり、サービスプロバイダーのネットワークで各企業が持つネットワーク/アプリケーションアクセスを制限し、それ以上は許可しません。両社間のコミュニケーションは許されるべきではないと思います。さらに、サービスプロバイダーは、顧客ごとに個別の専用ネットワークを使用して、トラフィックをさらに分離する場合があります。可能性のあるリスクは、マルウェアに感染したクライアント、脆弱性をスキャンする悪意のある攻撃者など、あらゆるネットワークで発生する可能性があるリスクです。ほとんどは、ネットワークアクセスを制限し、理想的にはネットワークセグメンテーションを使用することで最小限に抑えられます。

VPNトラフィックは会社Aからサービスプロバイダーへの接続のみが許可されていると思いますが、MITM攻撃は最初に思いつくものではありませんが、トラフィックはそのような傍受のために反対方向に来る必要があります(会社B悪意のある会社Aのプロキシに接続を送信します)

0
Ter9