Sul mio portatile da lavoro creo regolarmente una connessione VPN che uso sul desktop remoto per il nostro server web. È sicuro farlo in una caffetteria dove persone casuali sono collegate alla stessa rete wifi?
Sul mio portatile da lavoro creo regolarmente una connessione VPN che uso sul desktop remoto per il nostro server web. È sicuro farlo in una caffetteria dove persone casuali sono collegate alla stessa rete wifi?
Sì, una connessione VPN crittografa la connessione tra il computer e l'host VPN remoto. La connessione sembrerebbe senza senso a chiunque stia annusando il traffico, sia nel coffee shop che su Internet. Vale la pena notare che lo stesso vale per qualsiasi contenuto inviato tramite HTTPS anche se non si sta utilizzando una VPN.
Vale anche la pena di notare che se si utilizza la versione corrente di Microsoft Terminal Services (ad es. desktop remoto), la connessione VPN non è nemmeno strettamente necessaria (da un punto di sicurezza) in quanto anche la connessione desktop remota è criptato. Nota che questa impostazione può essere ridotta facoltativamente dalla configurazione amministrativa sulla rete, quindi la VPN non è ancora una cattiva idea.
Come è già stato detto - è "sicuro" utilizzare la VPN su una rete wireless pubblica. VPN utilizza i certificati per stabilire un flusso di dati crittografati tra il computer e il server VPN. Puoi usare uno strumento come wireshark per verificarlo. Tuttavia, penso che ci sia qualche possibilità di insicurezza, almeno in teoria. Qualcuno POTREBBE creare un punto di accesso falso con lo stesso SSID del punto di accesso reale ed eseguire un attacco man-in-the-middle - per SSL VPN comunque. Dovresti ottenere un segnale più strong dal AP falso in modo che il tuo computer possa scegliere quello più vicino a quello vero.
Per i dettagli vedere il seguente link: Attenuazione dei metodi di attacco SSLStrip sulla VPN SSL di Secure Access
Riguardo alla risposta di @AJ Henderson che afferma che le VPN potrebbero non essere necessarie per "la versione attuale dei servizi terminal", è necessario sapere che anche se il client è "nuovo", un'impostazione di AD all'interno di Criteri di gruppo può indebolire la sicurezza e rendere gli scenari Wifi non sicuri. Questo è spesso fatto come compromesso per abilitare una più ampia funzionalità.
Questo dipende molto dal tipo di VPN che stai utilizzando. Dovrebbe essere configurato correttamente su entrambi i lati (client e server, quando questa terminologia è applicabile).
Alcuni server PPTP non forniscono alcuna crittografia per impostazione predefinita. Inoltre, dovresti assicurarti di utilizzare la forma di autenticazione appropriata (consulta questo advisory per esempio).
OpenVPN e IPsec (in alcuni casi) usano certificati X.509 per autenticare il server (almeno). Ciò in parte risentirebbe degli stessi problemi PKI che interessano HTTPS.
È necessario accertarsi di verificare correttamente il certificato della parte remota durante la connessione (come sempre con i certificati); più specificamente, ha bisogno di verificare che il certificato sia affidabile e che il suo nome corrisponda a quello che stai cercando. Implementazioni corrette dovrebbero eseguire queste verifiche.
Potresti anche incontrare il problema di CA canaglia / compromesso, ma penserei (spero) che sia piuttosto raro. In caso di dubbi, se possibile, restringi l'elenco delle CA attendibili sulla tua macchina.
IPsec con un segreto condiviso. Questi possono andare bene, purché il segreto condiviso sia più segreto che condiviso. La conoscenza di questo segreto condiviso può consentire a un MITM di impersonare il server (i link su quella pagina dovrebbero anche essere di interesse).
Più grande è l'organizzazione, più difficile sembra essere mantenere il segreto condiviso sufficientemente segreto. Una rapida ricerca di istruzioni VPN per varie università sembra indicare che alcuni di questi segreti sono effettivamente resi pubblici.
Nonostante i problemi PKI, una soluzione basata su certificati renderebbe più difficile impersonare il server, poiché la chiave privata corrispondente del certificato non sarebbe condivisa con nessun utente.
Quindi, sì, una VPN può proteggerti su una rete non sicura (almeno nella misura della rete VPN remota), ma come tutto, deve essere configurata in modo appropriato.
La VPN si adatta alle tue esigenze fino a quando i seguenti requisiti sono soddisfatti:
Dipende da come è impostata la tua VPN. Se il client verifica l'identità del server, ad esempio utilizzando i certificati, allora sì. In caso contrario, puoi comunque essere MITM-ed.
Il primo punto di cui dipende la sicurezza della soluzione proposta è la sicurezza del sistema operativo che è il punto di partenza della VPN.
Troppi amministratori tendono a dimenticare che usare una VPN per raggiungere la propria rete aziendale da un sistema operativo debole è soprattutto un rischio per la sicurezza, e uno dei maggiori poiché una connessione VPN in ingresso è solitamente classificata come affidabile (in azienda firewall, presso l'azienda IPS, ovunque).
Ecco uno scenario di realtà comune: il tuo computer è ospitato da un keylogger. (Rendimento esperienza reale: la cifra abituale è superiore a 1. Controllo utente finale con una soluzione VPN: la cifra abituale è inferiore a 1).
Una VPN configurata correttamente dovrebbe bloccare la visibilità di Internet attraverso il traffico non crittografato (cioè IP normale). Tutto dovrebbe passare attraverso esp
(50)
ah
(51 ora per lo più non più usato) o 443/tcp/IP
o https
.
Scenario di realtà: la tua configurazione VPN è attiva ma il traffico sulla connessione wireless bedide il tunnel è aperto e nulla sul sistema lo controlla e l'amministratore non è abbastanza consapevole della rete per vederlo all'inizio.
Suppongo che non si digiti tcpdump -i en1
ogni volta che si avvia una VPN su un'interfaccia denominata en1
per verificare che 53/udp/IP
, 67/udp/IP
... siano ancora inondati accanto alla voce del tunnel :) e non solo 500/udp/IP
.
Suppongo che tu non controlli con arp -a
se qualche vicino è già connesso al tuo PC nell'ambiente Wi-Fi.
Sulla maggior parte dei sistemi operativi, gli utenti, persino gli amministratori e persino gli amministratori che si occupano di sicurezza tendono a fidarsi della funzione automagic di accettare un certificato remoto. Questa funzione è nascosta all'interno dei browser e talvolta all'interno del sistema operativo stesso. Una fiducia che non si verifica è magica. È un rischio.
Quando questa magia implica che devi prima lanciare Internet Explorer
per costruire la tua VPN, questo vale una vita piena di investigazioni e orrore.
Quando ti connetti con la tua azienda su una VPN costruita su una connessione https
, la tua azienda dovrebbe forzarti a controllare il certificato della tua azienda per assicurarti di non usarne uno che è presentato da un falso server web all'interno del tuo Wi -Fi quartiere. Dovresti avere l'impronta digitale del certificato della tua azienda su un documento indipendente che puoi controllare in qualsiasi situazione.
Questa connessione non dovrebbe essere costruita sulla parte superiore di magic trust.
Leggi altre domande sui tag wifi vpn man-in-the-middle