Eu tenho uma maquina modesta aqui em casa que uso como um pequeno servidor, ela fica ligada 24h com o ubuntu server rodando uma página web com o zoneminder (um programa open source de monitoramento de cameras se segurança) entre outras coisas, mas o foco principal seria esse.
Pra eu poder monitorar fora da minha rede local eu tiver que abrir várias portas pro acesso externo pelo meu ip publico, abri por exemplo FTP, SSH, HTTP e HTTPS. Isso pode ser bem perigoso, mesmo eu fazendo uso de chave publica e tal, as vezes aceso de wifi desconhecidos como de lojas, casas de amigos, trabalho, faculdade etc.
Então resolvi instalar o OpenVPN e tive a ideia de fechar todas essas portas, fazer o servidor ter alcance somente na rede local PORÉM para acesso externo ele usaria somente via vpn, ou seja, eu fecharia todas as portas e deixaria apenas uma aberta (a porta para o VPN).
Voces acham que essa medida é mais segura, menos segura ou daria na mesma? Ou talvez tivesse alguma outra dica melhor pra manter a segurança ao mesmo tempo tendo acesso ao servidor fora da rede local.
Usando VPN, protejendo os pacotes que vão passar por multiplos links e dispositivos é quase sempre a melhor opção para privacidade e segurança. Já em rede local, na maioria dos casos, não há necessidade de utilizar uma VPN.
Se tratando de um servidor, todas medidas possiveis de filtragem que, puderem, ser colocadas sem comprometer o funcionamendo correto do servidor é uma ótima escolha.
Procure, sobre softwares como SELinux ou AppArmor.
Lembrando que o Iptables possuí; filtro por tipo de endereço, grupo de controle e muitos outros filtros, que, se souber utilizar, você consegue um filtro de rede excelente. Eu recomendo a utilização do Iptables, pela quantidade de filtros que você pode criar com esta ferramenta é realmente uma ótima escolha.
Obs: Um sistema, não está seguro apenas por que instalou/compilou um firewall. Firewall é uma das possiveis mitigações de segurança para sistemas operacionais. Evitar ou bloquear ameaças e permitir somente o que o usuário quer é muito mais complexo. Por que afinal não somos robos que seguem padrões de uso.
Meu conhecimento em iptables é muito pouco mas vou dar umas estudada aqui e também vou dar uma olhada sobre SElinux e AppArmos que nunca tinha ouvido falar.
Ngrok ou ZeroTier não resolvem nesse caso? Ambos criam túneis e não seria necessário abertura de tantas portas para acesso. No meu roteado uso o ZeroTier e somente abro a porta 443 para acesso https a página de gerenciamento.
Se puder faça testes com ambos, OpenVPN da forma que cita também é uma solução. Lembrando que se o servidor está atrás de um roteador ou modem wireless, há um NAT na rede e tecnicamente ele não estaria diretamente exposto.
Estive estudando sobre esse ZeroTier, bastante interessante mas tem uma coisa que não entendi e talvez possa me ajudar.
Eu criei minha rede e fiz essa “lan” virtual e funcinou de boa mesmo (pra mim pareceu magia negra ) mas a minha dúvida é se esse IP da lan vai ser fixo ou pode acontecer de algum dia ele mudar? A partir do momento em que minha operadora mudar meu IP publico, todos esses IPs do zerotier não vão ser mudados tbm, ou tem outra magia negra no meio do caminho que não permite que isso aconteça? hehe
Não, O endereço IP do ZeroTier, só mudará se você mudar nas configurações da rede virtual no site do ZeroTier. Você pode escolher inclusive uma faixa de endereços mais familiar caso deseje, eles possuem várias lá.
A cada mudança de endereço IP pela sua operadora, o daemon do ZeroTier atualizará na base deles, como se fosse um NoIP.
Tbm estive dando uma olhada no Ngrok e é muito parecido mas o ZeroTier já é instalado como um serviço inicializando junto com o sistema e já rodando tudo automaticamente (pelo que vi tbm pode ser feito isso no Ngrok mas tem que fazer mais algumas configurações extras, da um pouco mais de trabalho).
Só não consegui ainda configurar o openVPN usando o IP gerado pelo ZeroTier, mas só o ZeroTier puro já supre todas as minhas necessidades e acho que não preciso mais do openVPN.
uma coisa que eu recomendaria seria usar docker com o zerotier,o docker dá pra limitar bem as portas,e se quiser é bem simples de o zerotier ser instalado diretamente no container docker e sendo assim nem na rede lan seria visivel,apenas pela rede do zerotier,eu nunca precisei de chegar a esse nivel de segurança,então nunca tentei fazer o que eu estou propondo,o maximo que eu fiz é deixar o zerotier e abrir apenas as portas de http, dns e aplicações
) mas a minha dúvida é se esse IP da lan vai ser fixo ou pode acontecer de algum dia ele mudar? A partir do momento em que minha operadora mudar meu IP publico, todos esses IPs do zerotier não vão ser mudados tbm, ou tem outra magia negra no meio do caminho que não permite que isso aconteça? hehe