L'uso di una VPN blocca completamente gli attacchi MITM (man in the middle)? In caso negativo, quali altre difese dovrei prendere in considerazione?

7

Solo per un contesto aggiunto, sono curioso di connettermi a un desktop remoto usando una VPN ma se ci sono delle differenze importanti che possono essere evidenziate per altri servizi sarei interessato anche a questo.

    
posta Arlix 03.11.2015 - 17:38
fonte

2 risposte

3

Supponendo di disporre di un client VPN configurato correttamente e funzionante, l'utilizzo di una VPN impedirà il verificarsi di attacchi MiTM tra il computer e il server VPN. Esiste ancora la possibilità che si verifichi un attacco MiTM tra il server VPN e il desktop a cui ci si sta connettendo.

Supponendo che sia la VPN sia il desktop siano all'interno della rete privata della tua azienda, la connessione al desktop tramite VPN è sicura quanto la connessione tramite qualsiasi altra connessione di rete all'interno della rete della tua azienda. Allo stesso modo, se la VPN e il desktop non sono all'interno di una rete privata, la connessione è aperta agli attacchi MiTM su Internet pubblico.

    
risposta data 03.11.2015 - 17:49
fonte
2

Non necessariamente. Dipende dalla configurazione della VPN e dalle impostazioni di sicurezza sul client e sul server. Per espandere, se la rete è protetta da Diffie Hellman, allora qualcuno può ingaggiare un attacco MITM. Se la VPN è protetta da un certificato RSA, dipende dalla natura del canale. Se il client è stato fornito con la chiave pubblica del server tramite un certificato firmato e utilizza tale certificato (non si basa su una CA di terze parti), allora è sicuro nella misura in cui è stato utilizzato un numero primo grande (2048, per esempio). Se il client ha un paniere di certificati di root e il server invia il suo cert over durante l'installazione della sessione VPN, allora è possibile essere attaccato nel mezzo.

DH è insicuro? Non necessariamente. Tuttavia, bisogna stare attenti a come vengono implementate queste cose. RSS è sicuro? Di nuovo, dipende dall'uso.

Opzioni:

Per RSA, eseguire il provisioning del lato client della VPN con il certificato del server e non fare affidamento sulle CA. Ciò significa che il certificato del server può essere autofirmato.

Per Diffie Hellman, cambia il gruppo e usa un grande gruppo. Cosa significa? Usa un Safe Prime grande (1024 o 2048) (p = 2q + 1, dove p & q sono primi) e un g (generatore) che è buono per il gruppo. Trova un software che generi questi per te. Non farlo da solo. Non riutilizzare i parametri DH comuni dal mondo: IETF o dati da un fornitore. Ecco come la NSA ha rotto così tanti protocolli attraverso mezzi passivi.

    
risposta data 06.11.2015 - 02:17
fonte

Leggi altre domande sui tag