Задать вопрос
@easycode
не боюсь задавать глупые вопросы ))

Какие увеличить безопасность своего VPN-сервера?

Арендовал у российского хостера недорогой VPS в дата центре (Европа).
Быстро установил и настроил PiVPN (WireGuard)
Хороший пинг, нормальная скорость - 2к-видео в YouTub'чике смотрится хорошо.
Всё удобно, всё красиво, быстро и хорошо...

Но что там с безопасностью?
Это же российский хостер с дата-центром в Европейском городе...

Как дополнительно себя обезопасить?
Они же явно логируют все запросы (трафик) с VPN-сервера?
Сам WireGuard или Linux оставляет тоже следы внутри себя?
  • Вопрос задан
  • 712 просмотров
Подписаться 1 Простой 6 комментариев
Пригласить эксперта
Ответы на вопрос 2
CityCat4
@CityCat4 Куратор тега VPN
//COPY01 EXEC PGM=IEBGENER
Они же явно логируют все запросы (трафик) с VPN-сервера?

То,что явно - не доказано, но лучше предполагать, что именно так.
VPN от российского хостера анонимности тебе... понизил :) Потому что откуда ты на него пошел (тот конец туннеля, что у тебя) - хостер и так знает - ты же вряд ли заходишь на морду управления хостера через дополнительный VPN. И у тебя появилась метка "использует VPN". И трафик твоего VPN тоже знает - ну при желании, конечно, так-то ему он даром не впилился.
Машина (VPS, в смысле) у хостера - в его распоряжении. Снять снапшот - дело нескольких минут. Вскрыть рутовый пароль - еще нескольких минут. Опа - и у хостера есть и твой настоящий IP (адрес второго конца туннеля) и ключи :)
Разумеется, это все не автоматом, а если понадобится.

Относительная надежность схемы "VPS в йобенях" была связана именно с фактором того, что хостер - иностранец и его российские законы никуда не тычут. Сейчас практически невозможно оплатить хостинг в тех же йобенях, где раньше таким образом, чтобы не было возможности связать оплату с твоей личностью.

Схема с выходом в тырнет через VPS в Голландии, например, будет работать, если нужно:
- попасть на сайты, блокирующие IP из РФ типа analog devices
- попасть на сайты, заблокированные РКН типа твиттера или инсты (правда, с последней стоит быть осторожнее - она все-таки в списке экстремистских)

Но эта схема не сработает, если есть идея писать "всяку бяку" например, на вконтактике типо от голландского IP - вычислят махом.
VPS, держащий VPN в йобенях - это совсем не про анонимность (противодействие установлению связи между логином vasyan и настоящим именем юзера, как правило, комплекс административно-технических мероприятий), а про безопасность (противодействие перехвату трафика и его модификации (чисто техническое решение, которое может применяться для повышения анонимности в комплексе, но само по себе ее никак не повышает).
Ответ написан
paran0id
@paran0id
Умный, но ленивый
Что делал я:
  • Хостинг на digitalocean
  • openvpn
  • Нестандартные порты
  • Блокировка всех найденных околоправительственных российских подсетей (гуглятся)
  • psad, fail2ban, прочие стандартные меры

Пока работает, но то, что во время войны с телеграмом серверок не забанили по маске вместе с половиной диджиталоушена - чистой воды везение. Когда начнут воевать с vpn на уровне протокола - даже не знаю, что делать. Может быть, модифицированный клиент и сервер найду, или через ssh-туннель пущу трафик. Варианты есть, но они все ненадёжные - действовать надо по ситуации, и гарантированно рабочих вариантов ожидать не стоит.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы