Dire che ho un server interno che sto usando per il controllo del codice sorgente. Se accedo solo a quel server tramite una connessione VPN, devo ancora avere l'impostazione SSL sul server di controllo del codice sorgente per garantire che nessuno possa intercettare la mia comunicazione con esso?
VPN è una Rete privata virtuale: isola un gruppo di macchine dal resto del mondo, in modo che queste macchine possano parlarsi indisturbate dagli estranei. Se l'isolamento è ragionevolmente accurato (usa la crittografia e lo usa correttamente ), le comunicazioni tra due macchine qualsiasi nella VPN saranno protette da intercettazioni e alterazioni da macchine che sono non nella VPN.
Ma la VPN non farà nulla contro gli attaccanti che sono già dentro la VPN. Il tuo sistema desktop è nella VPN; così è il server con cui stai parlando. Ma potrebbero esserci anche altre macchine. Di fatto, è tipico, nei contesti aziendali, che tutti i dipendenti remoti si uniscano alla VPN, che quindi conterrà molte persone oltre a un gruppo di server aziendali e altri sistemi di sicurezza discutibile (ad esempio stampanti).
Un altro punto è che la VPN si trova tra macchine . Nel "modello mainframe", una determinata macchina può eseguire processi da utenti distinti, con diritti distinti. Con SSL, la sicurezza proviene da uno specifico processo sul computer client, fino a uno specifico processo sul server. Anche se la VPN utilizza l'autenticazione, sarebbe scomodo per il cliente ottenere alcune informazioni precise sull'identità del server e viceversa, poiché l'autenticazione VPN non è resa disponibile per il singolo processo sulle macchine coinvolte.
Pertanto, in presenza di una VPN, SSL è ridondante solo se vengono soddisfatte tutte le seguenti caratteristiche:
Se non sei sicuro, usa SSL e considera la rete come ostile. Questo è il modo sicuro.
Questo dipende da a) se la VPN in uso fornisce crittografia eb) se l'endpoint VPN è il server. Se si sta eseguendo la VPN in una rete aziendale, ad esempio, il traffico sarà comunque non crittografato dal nodo di uscita VPN (a condizione che la VPN fornisca la crittografia) finché non arriva al server. L'uso di SSL garantisce che il tuo traffico sia crittografato fino al server (a meno che tu non stia utilizzando SSL per un firewall).
VPN non implica necessariamente che il traffico che attraversa il tunnel sia crittografato, quindi per prima cosa chiederei quale tipo di VPN stai usando per assicurarti che sia crittografato.
Supponendo che si stia utilizzando una VPN che sta crittografando il traffico, la comunicazione si muoverà ancora in testo chiaro tra l'host in cui termina la VPN e il server di controllo sorgente tendo verso un "presupposto che la rete interna sia compromessa" e quindi suggerirei di usare SSL anche su una rete "privata" o "interna".
Se il server VPN è la stessa macchina del server di controllo del codice sorgente e si utilizza una tecnologia VPN decente come IPSec, allora no, non vi è alcun vantaggio nell'aggiungere SSL in termini di persone che intercettano - avete già terminato fine crittografia con autenticazione dei messaggi. L'unica preoccupazione è che chiunque altro sulla VPN può visualizzare e modificare il traffico in testo semplice.
Se, tuttavia, la VPN e il punto finale sono non la stessa macchina, allora sì, è necessario aggiungere SSL. Ciò è dovuto al fatto che qualsiasi crittografia VPN termina sul server VPN e il server VPN agisce quindi come un gateway NAT dinamico, essenzialmente effettuando la chiamata al server endpoint per conto dell'utente. Da quel momento in poi, la connessione è in chiaro, a meno che non sia presente un altro livello di crittografia, come SSL.
In sostanza, aggiungi sempre SSL, anche quando non pensi di averne bisogno. Potrebbe turbare gli operatori del firewall anche se ... a loro piace poter ispezionare il traffico.
Sì, è necessario utilizzare SSL per crittografare le informazioni sensibili. VPN stabilisce il tunnel crittografato tra il punto finale su Internet e il punto finale del server VPN di tale organizzazione. Tuttavia, una volta entrato in VPN, i collegamenti non https che si sfogliano trasmettono dati in chiaro. Ciò è vulnerabile agli aggressori interni e inoltre, chiunque sia nella posizione in cui può intercettare il traffico (seduto nello stesso segmento di rete o scenario man-in-the-middle) può facilmente recuperare i dati catturando il traffico di rete tra il client ( sistema) e il server. Tuttavia, la probabilità è minore, ma sì possibile dalla prospettiva di un attaccante interno.
Scusa il mio inglese, ma spero che tu abbia capito cosa c'è tra l'utilizzo della VPN (traffico crittografato tra il tuo ISP e la tua organizzazione) e SSL (traffico crittografato tra il client e il server web).