Предотвратите IP-спуфинг на бочке OpenVPN
У меня есть вопрос относительно IP-спуфинга и аутентификации. У меня есть сервер OpenVPN в режиме TUN со многими недоверяемыми клиентами в той же сети VPN, и я задавался вопросом, может ли один клиент имитировать ее IP-адрес VPN так, чтобы это могло появиться к серверу как другой клиент. Там какой-либо путь состоит в том, чтобы предотвратить его?
Я думал, возможно, если: 1) я присваиваю статические IP-адреса клиентам, затем 2) Сохраняют отображающийся сертификат TLS IP-адреса для каждого клиента затем 3), я могу проверить для каждого входящего пакета к серверу, исходному IP-адресу и цифровому отпечатку (или Общее название) соединения TLS, которое отправило тот пакет, и посмотрите, соответствуют ли они.
Действительно ли это возможно и если да, как?
Я читал, что с tls-проверяют, я могу проверить, что клиент с сертификатом A принадлежит 10.8.0.4, например, когда клиент соединяется с сервером OpenVPN, но действительно ли я уверен, что все пакеты с исходным IP-адресом 10.8.0.4 принадлежат клиенту с сертификатом A? В основном я хочу идентифицировать клиенты на основе их IP-адреса. Там какой-либо сценарий должен проверить это?
Спасибо много за Ваше внимание. Я надеюсь, что был достаточно ясен.
Для указания IP-адреса для каждого клиента: У вас есть специальная процедура «каталог конфигурации клиента» для привязки ключа к определенному IP-номеру. Если вы создаете подкаталог «ccd» каталога конфигурации openvpn, вы можете указать, что файлы сопоставления ключей / IP будут найдены там. В вашем openvpn.conf (или .ovpn в Windows):
client-config-dir ccd
ccd-exclusive
Если у вас есть клиент с ключом с именем «someclient», вы можете затем создать файл ccd / someclient с содержимым:
ifconfig-push 192.168.11.57 192.168.11.58
.. ., что заставит клиента использовать туннель между 192.168.11.57 и 192.168.11.58 (.57 - это IP-адрес клиента). Создайте новый файл для каждого клиента с действительными сопоставлениями начальной / конечной точки (см. Документацию openvpn для допустимых пар IP-адресов).
При такой настройке ни один клиент не будет принят, если у него нет файла CCD, даже если у него есть действительный ключ. И каждому клиенту будет назначен явный IP-адрес. Чтобы заблокировать клиента, просто удалите соответствующий файл CCD.
Я не проверял, возможно ли для клиента каким-либо образом подделать IP-адрес отправителя, хотя я думаю, что это будет сложно из-за туннельной природы соединения ( конечная точка на стороне сервера не будет соответствовать). Однако это всего лишь предположение.