Oggi ho parlato con un sysadmin in un business center che intendeva fondamentalmente eseguire un MiTM (come lo chiamava) su ogni connessione nella sua rete perché le persone nel suo edificio utilizzavano VPN e connessioni https per lo streaming di video, download torrent ecc. Questi servizi utilizzano tutta la larghezza di banda, ma poiché sono connessioni crittografate, il suo servizio di bilanciamento del carico non funziona.
La società di sicurezza da lui assunta lo ha convinto che è possibile configurare un server proxy con il proprio certificato valido e firmato (ovviamente per il server proxy) che duplicherebbe tutti i browser e le connessioni VPN per accettare il proxy come endpoint. Ciò gli consentirebbe di decrittografare tutto il traffico, verificarne il contenuto e ridurlo se necessario, crittografarlo nuovamente e inviarlo come previsto senza che nessuno ne sia il più saggio.
Sulla parte https sono riuscito a spiegarlo / convincerlo che qualsiasi implementazione https decente è intesa specificamente per evitare gli attacchi MiTM perché i certificati sono collegati a un dominio oa un'azienda specifici. In nessun modo il suo proxy può ingannare un browser per pensare che si stia connettendo al sito web mentre in realtà si connette al server proxy.
Tuttavia, per quanto riguarda le VPN, è irremovibile (o, meglio ancora, la società di sicurezza che ha ingaggiato per la sua rete) che molti servizi o protocolli VPN accetteranno qualsiasi certificato firmato da una CA per creare una connessione sicura. Indipendentemente dal fatto che il certificato sia effettivamente attribuito al server a cui ci si sta collegando non è selezionato.
Questo mi sembra altamente improbabile e contrariamente a tutto ciò che so di connessioni sicure, ma prima di riprendere questa discussione voglio assicurarmi che non manchi una vulnerabilità poco conosciuta nei protocolli VPN di software che pochissime persone conoscono .
La mia domanda: è vero che alcuni protocolli VPN o software VPN controllano solo la validità di un certificato controllando se è firmato da una CA e non verificherà affatto se il certificato è effettivamente attribuito al server ci si sta connettendo?
- piccola modifica - Per specificare perché questo dovrebbe essere possibile: secondo l'impresa di sicurezza alcuni software VPN accetteranno qualsiasi certificato valido e non controllerà se il certificato è effettivamente collegato al server: qualsiasi certificato valido è accettato.