Cosa succede se la mia VPN cade momentaneamente mentre si utilizza una connessione SSL?

Question

Cosa succede se la mia VPN cade momentaneamente mentre si utilizza una connessione SSL?

#1 da (3 voti)
#2 da (1 voti)

7

La situazione

Sono in un ufficio con una connessione che viene instradata attraverso un firewall BigIP, con intercettazione SSL; i nostri computer hanno un certificato di origine per consentire i certificati di intercettazione. Se sfoglio un sito come link e visualizzo il certificato di sicurezza, vedo il certificato emesso dal firewall, ma i browser lo accettano allegramente perché si associa a un certificato radice sul computer.

Ho una connessione VPN che viene sottoposta a tunneling attorno al firewall; il certificato utilizzato nella negoziazione VPN è il certificato del server VPN previsto, a indicare che il firewall non sta intercettando questa connessione. Una volta connesso, tutto il mio traffico viene instradato sulla VPN e il traffico HTTPS visualizza i certificati del sito corretti anziché il certificato del firewall, a indicare che il traffico HTTPS non viene più intercettato.

The Confusion

Ogni tanto il server VPN interrompe momentaneamente la connessione (OpenVPN mostra che sta rinegoziando la connessione, quindi riconnette entro 3-5 secondi). Che cosa succede a qualsiasi richiesta HTTPS di sfondo AJAX o di altro tipo che viene eseguita mentre ciò accade? La connessione non sembra mancare mai un battito (i dati aggiornati continuano ad essere aggiornati sulla pagina), il che suggerisce che il traffico continui a scorrere anche quando la connessione VPN non funziona.

Il browser rinegozia temporaneamente la connessione HTTPS (e in modo trasparente) utilizzando il certificato del firewall mentre la connessione VPN non funziona? O il firewall in qualche modo vede che i dati fanno parte di una connessione esistente e passano i dati senza MITMing? Oppure le chiamate AJAX vengono effettivamente rifiutate a causa della modifica del certificato e la pagina continua semplicemente a ricaricare le informazioni raccolte prima del rilascio, in modo che mi si senta continuo?

I dettagli

Piattaforma: Windows 7
Tunnel: server OpenVPN, con client GUI OpenVPN
Browser: Google Chrome (e talvolta Mozilla Firefox)
Firewall: f5 BigIP, possibilmente AFM

Questa non è una domanda sul fatto che bypassare un firewall con una VPN sia (morale, etico, legale, ecc.); questa è una domanda su cosa succede ai dati quando la VPN cade momentaneamente e se può essere soggetta a intercettazione. Ho l'autorizzazione a farlo in modo specifico perché di implicazioni legali.

vpn firewalls tls certificates ssl-interception

posta Doktor J 14.09.2017 - 16:42

fonte

2 risposte

Leggi altre domande sui tag vpn firewalls tls certificates ssl-interception

Sistemi per videoconferenza - Test di sicurezza Perché il punteggio CVSS3 aumenta quando l'impatto della riservatezza diminuisce?

score 3 · Answer 1

Il "tcp" nel tuo stack di rete compenserà felicemente un'interruzione inferiore al timeout del tcp, chiedendo al server di inviare nuovamente i pacchetti persi. La connessione socket esistente non verrà commutata su un percorso diverso (ciò avviene spesso sui router ma non sui dispositivi endpoint). Dal momento che lo stack di rete TCP è molto buono, non ci sono capacità nel browser per gestire tali eventi.

Non vedo come il contenuto possa essere consegnato senza alcuna connessione di rete. Nota che il rendering e l'esecuzione di JavaScript avvengono in modo asincrono dal recupero del contenuto (sia da server che dalla cache locale), quindi lo schermo potrebbe cambiare senza lo scambio di pacchetti di dati.

score 1 · Answer 2

La tua applicazione VPN generalmente si installa come un driver di rete. Questo significa che dice al tuo sistema 'Ehi! Invia tutto il tuo traffico attraverso di me! '

Ora quando la tua VPN non è disponibile, potrebbe essere causata da diverse cose:

Errori tra il router e il sistema
Errori nel driver / applicazione VPN o influenza esterna che costringono il sistema a smettere di usare la scheda di rete
Il tuo ISP ha appena avuto un'interruzione lieve (improbabile)
Combinazioni di quanto sopra.

In tutti questi casi, nel momento in cui la connessione si interrompe, la * scheda di rete o il tuo adattatore VPN moriranno. Questo è esclusivamente basato sulla configurazione del tuo sistema e sulla sua velocità / capacità di commutazione. Questo è l'equivalente di accendere un rubinetto e raggiungere sotto il lavandino per spegnere la valvola. Non c'è posto per quei pacchetti. MA - SE il tuo sistema è in grado o configurato di utilizzare un altro adattatore come ripiego, quindi a seconda della rapidità con cui è in grado di passare, è possibile che il sistema continui a inviare questi pacchetti sulla loro destinazione, il che significa che il firewall sarà in grado di visualizzare nuovamente i contenuti.

Altre possibili strategie di mitigazione potrebbero includere bloccando tutte le porte tranne le porte VPN (Blocca tutto tranne UDP 1194) - Ciò garantirà che tutti i dati vengano instradati attraverso la porta VPN.

Tuttavia, molti siti ti disconnetteranno immediatamente se rileveranno pacchetti che contengono lo stesso cookie provenienti da più IP secondi. Ma ancora una volta, c'è la possibilità che i dati possano essere trasferiti e letti dal tuo datore di lavoro (o dalla persona che gestisce il firewall).

Inoltre, dovrei menzionare che molti programmi VPN sono dotati di un kill switch che monitora se la tua connessione VPN fallisce e interrompe immediatamente la trasmissione dei pacchetti. OpenVPN non ancora.