web-dev-qa-db-ja.com

専用VPNマシンを使用するよりもルーターでVPNを使用する方が安全ですか?

Asus RT-N66 ルーターの機能を見ていたところ、組み込みのVPN機能に気づきました。現在ESXi VMでOpenVPNサーバーを実行していますが、疑問に思っていました。ルーターでVPN機能を使用すると、より安全になりますか?結局のところ、この方法では、内部ネットワークへのポート転送を行う必要はありませんよね?

または、セキュリティに関しては、2つのアプローチに違いはありませんか?

3
user1301428

場合によります;考慮しなければならないことが3つあります。

  • 提供されているソフトウェアはお客様のニーズ(セキュリティとパフォーマンス)を満たしていますか?
    • ESXiでOpenVPNサーバーを使用しているので、おそらく pfSense ファイアウォールでOpenVPNサーバーを使用するとうまくいきます。正しく構成する方法を知っていれば、同じpfSenseボックス上のIPSec VPNもおそらく機能します。
    • リストした特定のコンシューマルーター PPTP VPN と表示されます)。これは、ニーズを満たしている場合と満たしていない場合があります。
  • ソフトウェアには、最初に入手した(インストールまたは購入した)既知の脆弱性が含まれていますか?
    • これは常に「現在のニュースをチェックする」アイテムです。
    • したがって、質問する必要があります-特定の製品のそのようなニュースはどこで見つけることができますか、つまり、どのようにして知ることができますか?
      • フォーラム?
      • メーカーに連絡しますか?
      • CERT?
  • 脆弱性が将来発見された場合、どのように対処されますか?
    • 将来のある時点で、いくつかの脆弱性が見つかります。これが人間が書いたコードのやり方です。
    • 過去のパフォーマンスを見てください。あるメーカーが、HeartbleedやShellshockなどの最近の大きなバグにどれだけうまく対応しているか。
      • 彼らの現在の製品で?
      • 彼らの古い製品では?これを維持したいと思っているのと同じくらい古い製品を探してください。彼らがアップデートとパッチをどのように扱うかを見てください。

私の直感は、深刻なファイアウォールは、無料のメンテナンスがあるか、サポートプランを購入していて、コンシューマーグレードのものは最新に保たれていない場合、組み込みのVPNでこれらすべてを処理するのに非常に優れているということです。

ローカルネットワークへのポート転送に関しては、あなたは正しいです。私のpfSenseインストールは、特定のOpenVPNサーバーポートを開くためにどのインターフェース(あなたの場合はWAN)に尋ねるだけです。ただし、OpenVPNを実行する単一の内部アドレスに対して、UDPのみ(またはTCPのみ))を開いて、重大なセキュリティ上の欠陥として表示するのは難しいと思います。これは、すべて、ファイアウォールを使用する目的。

2