Я установил VPS, который обрабатывает почту, файлы, jabber и т. Д. Все эти службы доступны только в локальной сети, которую создает OpenVPN. Например, все службы будут прослушивать только подсеть 10.55.66.xx и игнорировать соединения с общедоступных IP-адресов.
Если связь между моими клиентами и сервером уже зашифрована, имеет ли смысл добавить еще один уровень поверх этого? Например, принуждение http к https, требование SSL для jabber, POP3 / IMAP и т. Д.? Мне это кажется избыточным, но я хотел бы знать, есть ли какие-либо соображения, о которых я не знаю.
Если вы настроили OpenVPN так, что клиенты не могут видеть друг друга (т.е. вы не включили «клиент-клиент»), это, вероятно, избыточно. Даже если вы его включили, это, вероятно, в любом случае излишне, поскольку я не думаю, что они могут обнюхивать трафик друг друга.
С другой стороны, я считаю, что включение SSL для других сервисов - это просто хорошая практика, поскольку это не так обременительно. Если когда-нибудь в будущем вам понадобится открыть доступ для клиентов, не относящихся к VPN, вам не придется ломать голову над тем, как это сделать, и, надеюсь, вы обнаружили какие-либо подводные камни для своей настройки SSL с настоящего момента и до этого гипотетического будущее.
Обеспечение безопасности служб, даже если к ним можно получить доступ только локально, может быть хорошей идеей, особенно если вы не доверяете / не можете доверять всем своим внутренним пользователям. Конечно, это зависит от размера вашей сети, от того, доверяют ли все ваши пользователи, от конфиденциальности ваших данных, которыми вы обмениваетесь, и т. Д.