Tailscale schreibt selbst:jmaus hat geschrieben: ↑09.12.2022, 12:16Nein, da gibt es KEINERLEI praktische Angriffsvektoren. Vielleicht solltest du da doch dich nochmal etwas genauer einlesen was technologisch hinter Tailscale steckt und was es von traditionellen VPN Lösungen unterscheidet. Dann solltest du schnell verstehen das die Art&Weise wie man mit Tailscale ein privates VPN betreiben kann vollkommen sicher ist, auch wenn man über den offiziellen Tailscale Control Server geht um die einzelnen VPN Nodes einzurichten.
Das heisst, deren Server ist für die Initiierung der Verbindung, dem Austausch der Keys, Änderungen der Netzwerk Topologie und ACL's zuständigt.All machines in a tailnet maintain a connection with a centralized coordination server in order to exchange metadata such as encryption keys, network topology changes, and access policy changes. The coordination server is part of the control plane only.
Also könnte sich ein guter Angreifer, so er sich in diesen Server gehackt hätte, sich eine eigene Node konfigurieren und diese in meine Topologie hinzufügen. Der Austausch der Keys erfolgt dann über diesen Server, auch wenn sie nicht physisch dort hinterlegt sind.
Dann baut seine Node halt die Verbindung direkt auf, da ist es unerheblich ob der Traffic nicht über diesen Server läuft.The admin console is where you find detailed information about your tailnet. You can manage nodes on your network, users and their permissions, and settings such as key expiry. The admin console also informs you if an update to the Tailscale client is available for your device. Changes to your tailnet are immediately published to all relevant machines by the coordination server.
Zumal es in gewissen Situationen, wo die Nodes nicht direkt miteinander kommunizieren können, auch einen Relay Server (DERP) zu geben scheint.
Alle 3 Zitate sagen mir, dass es da doch gewisse, wenn auch sehr schwirig durchzuführende Angriffsvektoren gibt...When a direct connection between two machines cannot be established, then the only way to communicate is through an intermediate relay that both machines are able to communicate with. ... a small amount of traffic must instead be routed through DERP. Relays are distributed globally — New York City, Dallas, Seattle, London, San Francisco, Frankfurt, Tokyo, Sydney, Bangalore, Singapore…
Ein VPN was ohne solch einen Server auskommt ist hier sehr viel sicherer, wenn auch nicht so kompfortabel...
Ob nun CloudMatic, Cloud-Weiterleitung, VPN oder Tailscale VPN, wir diskutieren hier aber über Themen, die mit dem eigentlichen Vorschlag nichts zu tun haben. Jeder kann hier ja die präferierte Variante nehmen, welche er für angemessen hält. Schön ist, dass es überhaupt eine Möglichkeit gibt, die Zentrale selbst in ein VPN zu integrieren. Ob es nun die beste VPN Lösung darstellt, muss jeder für sich entscheiden und muss hier nicht in eine Grundsatzdiskussion ausarten.
