Solo per un contesto aggiunto, sono curioso di connettermi a un desktop remoto usando una VPN ma se ci sono delle differenze importanti che possono essere evidenziate per altri servizi sarei interessato anche a questo.
Supponendo di disporre di un client VPN configurato correttamente e funzionante, l'utilizzo di una VPN impedirà il verificarsi di attacchi MiTM tra il computer e il server VPN. Esiste ancora la possibilità che si verifichi un attacco MiTM tra il server VPN e il desktop a cui ci si sta connettendo.
Supponendo che sia la VPN sia il desktop siano all'interno della rete privata della tua azienda, la connessione al desktop tramite VPN è sicura quanto la connessione tramite qualsiasi altra connessione di rete all'interno della rete della tua azienda. Allo stesso modo, se la VPN e il desktop non sono all'interno di una rete privata, la connessione è aperta agli attacchi MiTM su Internet pubblico.
Non necessariamente. Dipende dalla configurazione della VPN e dalle impostazioni di sicurezza sul client e sul server. Per espandere, se la rete è protetta da Diffie Hellman, allora qualcuno può ingaggiare un attacco MITM. Se la VPN è protetta da un certificato RSA, dipende dalla natura del canale. Se il client è stato fornito con la chiave pubblica del server tramite un certificato firmato e utilizza tale certificato (non si basa su una CA di terze parti), allora è sicuro nella misura in cui è stato utilizzato un numero primo grande (2048, per esempio). Se il client ha un paniere di certificati di root e il server invia il suo cert over durante l'installazione della sessione VPN, allora è possibile essere attaccato nel mezzo.
DH è insicuro? Non necessariamente. Tuttavia, bisogna stare attenti a come vengono implementate queste cose. RSS è sicuro? Di nuovo, dipende dall'uso.
Opzioni:
Per RSA, eseguire il provisioning del lato client della VPN con il certificato del server e non fare affidamento sulle CA. Ciò significa che il certificato del server può essere autofirmato.
Per Diffie Hellman, cambia il gruppo e usa un grande gruppo. Cosa significa? Usa un Safe Prime grande (1024 o 2048) (p = 2q + 1, dove p & q sono primi) e un g (generatore) che è buono per il gruppo. Trova un software che generi questi per te. Non farlo da solo. Non riutilizzare i parametri DH comuni dal mondo: IETF o dati da un fornitore. Ecco come la NSA ha rotto così tanti protocolli attraverso mezzi passivi.
Leggi altre domande sui tag remote-desktop vpn man-in-the-middle