Come fanno le VPN a instradare il traffico SSL e compromettono la sicurezza?

6

Se la mia comprensione di come funzionano le VPN è corretta, tutto il traffico tra me e Internet at-large viene instradato attraverso i server della VPN. Quindi un utente malintenzionato sarebbe in grado di vedere il traffico crittografato tra la VPN e me e non sarebbe a conoscenza del suo contenuto né della sua vera destinazione. La destinazione non sarebbe in grado di vedere da dove proveniva originariamente la richiesta (cioè: me). Ho ragione finora?

Quindi, quando SSL entra in gioco qui, come funziona? Supponiamo che io vada a Gmail tramite VPN. Dal momento che la VPN si connette a Gmail per mio conto (e viceversa), non avrebbero bisogno di decrittografare le comunicazioni tra Gmail e il mio computer e di ricodificarle nuovamente per inviare ad entrambe le estremità? In questo caso:

  • ovviamente, questo non significa che la VPN possa vedere tutte le comunicazioni in chiaro?
  • e se quanto sopra è vero, non sarebbe un attacco MITM?
  • e se quanto sopra è vero, e non ho installato alcun nuovo certificato radice attendibile, perché il browser non mi avvisa?

La domanda riguarda le VPN in generale, ma sto usando OpenVPN.

    
posta 999999 11.01.2013 - 22:47
fonte

3 risposte

7

La comunicazione di rete viene effettuata utilizzando più livelli indipendenti . La VPN è uno strato e un canale per la comunicazione e SSL è diverso. Non interferiscono.

Su un argomento molto diverso, qualcuno ha detto (ed era ridicolizzato per questo) che Internet è una serie di tubi . Ma posso usare l'analogia del tubo per spiegare il concetto di SSL all'interno di VPN.

Immagina che l'SSL sia come un tubo che va dal tuo browser al server di Gmail. Tu mandi i dati all'interno di quel tubo e nessuno al di fuori può vederlo. VPN è un tubo diverso e più grande da te al server VPN. Ora passi il tubo SSL attraverso il tubo VPN. I tuoi dati si trovano all'interno di questi due tubi quando lascia il tuo computer ma il tubo VPN terminerà sul server VPN dove il tubo SSL continua ancora ininterrotto in Gmail.

VPN è il tubo nero ei tubi colorati sono i tunnel SSL per tutti i tuoi siti importanti (Gmail, Paypal, ecc.). Il filo di rame sono i tuoi dati.

Quindi non c'è compromesso per la sicurezza dei tuoi dati.

Spero che la visualizzazione aiuti.

    
risposta data 11.01.2013 - 23:07
fonte
7

La VPN inoltra i pacchetti di dati indiscriminatamente. Quando si esegue l'SSL con il server di Gmail, la connessione SSL consiste effettivamente di "record" di dati (descritti nello standard SSL / TLS ) che vengono inviati tramite una connessione TCP tra la tua macchina e il server di Gmail. Quella connessione TCP, a sua volta, è incorporata in molti pacchetti IP individuali.

Con una VPN, tutti i pacchetti IP che emetti vanno al server VPN; e tutti i pacchetti IP che vengono inviati dal server di Gmail vanno al server VPN. Il server VPN inoltra questi pacchetti IP codificandoli nel tunnel che mantiene con la macchina. Quindi i pacchetti IP (che codificano una connessione TCP che contiene la connessione SSL con il server di Gmail) sono codificati nel tunnel e quindi crittografati di nuovo . Esistono due livelli nidificati di crittografia, la connessione SSL tra la macchina e il server di Gmail, e sopra la connessione (che potrebbe essere anche SSL) tra la macchina e il server VPN. Il server VPN rimuove e aggiunge il livello esterno, ma il livello interno rimane opaco a quel server.

Il server VPN è, in generale, in una posizione ideale per eseguire un attacco MitM su di te, dal momento che controlla tutti i dati che entrano ed escono dalla tua macchina; ma il livello SSL (quello tra la tua macchina e il server di Gmail) ti protegge da tutti gli attaccanti sul percorso tra la tua macchina e il server di Gmail, e questo include il server VPN.

    
risposta data 11.01.2013 - 22:59
fonte
2

Anche se è vero che il punto finale in cui Google invierà le informazioni sarebbe il gateway VPN, ciò che ti manca è il contenuto dell'SSL. Il tuo computer genera ancora la chiave privata per la sessione SSL e lo invia in modo tale che solo il server con cui vuoi parlare (GMail) possa aprirlo. Poi tu e GMail state parlando su quella connessione sicura, invierete la vostra password in un modo che solo GMail può leggere. Pertanto, l'endpoint VPN non sa nulla della tua comunicazione con GMail e GMail sa solo che stanno inviando al punto di ingresso della VPN.

    
risposta data 11.01.2013 - 23:02
fonte

Leggi altre domande sui tag