Autenticazione VPN tramite WiFi - È sicuro?

3

Conta questa domanda come parte della mia ignoranza su come lo schema di autenticazione è fatto sulla tua tipica sessione VPN. Ma ecco qui:

Spesso consigliamo all'utente consapevole della sicurezza che se uno deve utilizzare una connessione Wi-Fi pubblica non protetta (ad esempio in un aeroporto, un internet cafè, un ristorante, ecc.), connettersi sempre a una VPN privata . Ciò consentirà all'utente di connettersi e navigare da una rete affidabile con tutto il traffico crittografato.

La mia domanda è questa: il processo di connessione / autenticazione. Certo, la VPN offre più sicurezza. Ma se qualcuno con uno sniffer di pacchetti (come wireshark) in qualche modo intercetta il mio tentativo di accesso, l'utilizzo tipico di VPN include la sicurezza dell'autenticazione in linea?

UPDATE: In altre parole, è normale che parte del processo di autenticazione VPN includa crittografare la combinazione nome utente / password dal client prima di inviare in modalità wireless? Se l'intento è proteggere l'utente dall'attacco MIM, questo potrebbe essere un punto debole.

Se la mia domanda sembra in qualche modo strana, ancora una volta, questo è il mio tentativo di essere più istruito su come questo passo nella sicurezza delle comunicazioni tramite wifi possa funzionare. Ritengo che la domanda presupponga che una sorta di schema di crittografia modulare sia integrato nella routine di autenticazione per proteggere il traffico prima che inizi una sessione VPN. In pratica si riduce a: la crittografia è applicata in questa fase e, in caso affermativo, di che tipo?

E grazie, ragazzi. Sei il migliore.

    
posta Daniel 26.11.2013 - 00:25
fonte

5 risposte

2

Una VPN che vale quel nome garantirà un corretto bootstrap per la crittografia, ovvero proteggere anche le credenziali. La maggior parte delle VPN si baserà su SSL o IPsec. Una VPN alimentata tramite SSL è, in termini crittografici, simile alla navigazione in un sito Web HTTPS: prima SSL, quindi i dati protetti da SSL; una volta che il livello SSL è stato stabilito, il client ha una certa garanzia che dialoga con il server giusto e può inviare le credenziali in modo sicuro, che saranno crittografate come tutti gli altri dati e non andranno al tizio sbagliato. Con IPsec, verrà utilizzato ISAKMP / IKE o qualcosa di simile e il modello è lo stesso di SSL.

SSL e IPsec differiscono nei dettagli della crittografia e in che modo suddividono i dati in pacchetti di trasporto (con SSL, i pacchetti interni saranno serializzati in un tunnel sequenziale che gira su una connessione TCP, mentre con IPsec la traduzione è per pacchetto e più diretto) ma per il modello di sicurezza, non differiscono molto: il client autentica il server attraverso il certificato del server e crea il tunnel crittografico da esso; una volta che il tunnel è attivo e funzionante, il client invia le credenziali al server, sotto la protezione di quel tunnel, in modo che il server sappia chi sta parlando con esso.

Una VPN molto povera e scritta male può perdere le tue credenziali, ma hey, questo è ciò che ottieni usando la tecnologia crappy.

    
risposta data 03.02.2014 - 21:51
fonte
1

Finché la tua VPN è crittografata e la VPN fornisce l'autenticazione del punto finale a cui ti connetti, allora stai bene. Il Wi-Fi non è diverso da qualsiasi altra rete non sicura (ad esempio, Internet), quindi se la VPN fosse sicura per la connessione su Internet, sarebbe anche sicuro per la connessione tramite Wi-Fi.

    
risposta data 03.12.2013 - 15:49
fonte
1

La risposta alla tua domanda (citata sotto) sarebbe sì, ma forse in un altro modo ti aspetti.

is it standard that part of the VPN authentication process includes encrypting the username/password combination from the client prior to sending over the air?

La VPN imposta un canale di comunicazione crittografato. Nessuna password viene inviata in questo momento. Potrebbe essere necessario inserire una password, ma è solo per sbloccare una chiave di certificato client locale. Dopo la configurazione del canale, tutti i dati inviati o ricevuti vengono crittografati. Inclusa qualsiasi password.

Una buona lettura su questo è OpenVPN e la rivoluzione VPN SSL di Charlie Hosner. Page 10 "Quindi come funzionano queste cose?" sembra più rilevante, ma anche pagina 8 "VPN in poche parole". Inoltre, l'intero documento fornisce informazioni generali su VPN, Cryptography, PKI, IPsec e OpenVPN.

    
risposta data 19.12.2013 - 22:52
fonte
0

Dipende da quale VPN stai usando. Le VPN a chiave pubblica come OpenVPN sono invulnerabili agli attacchi man-in-the-middle se si conosce e si verifica l'impronta digitale chiave del server. Se si utilizza l'autenticazione della chiave, non è nemmeno necessario. PPTP ... beh, semplicemente non usarlo. Fa schifo.

Non è stato necessario verificare l'impronta digitale mentre si utilizzavano le password se esisteva una VPN con autenticazione SRP. Bene, per alcuni motivi SRP non è popolare ...

    
risposta data 26.11.2013 - 08:14
fonte
0

Suppongo che tu stia parlando di una VPN IPsec.

Le VPN IPsec tipiche del "guerriero della strada" si autenticano in pochi modi:

  1. Il segreto condiviso (noto anche come PSK o chiave pre-condivisa) è richiesto per l'autenticazione reciproca
  2. Certificato, dove una CA attendibile è conosciuta dal client, su cui viene convalidata l'identità del server, e il client ha anche la propria chiave di fiducia del server.
  3. (1) e (2) possono essere utilizzati in combinazione con XAUTH, noto anche come "autenticazione utente estesa". (solitamente questo è un nome utente + password, ma potrebbe essere un token RSA, ecc.)
  4. "Autenticazione RSA ibrida", che combina i vantaggi di convalida dell'identità di PKI con XAUTH per l'autenticazione. (Questo è praticamente equivalente al modo in cui ti autentichi con, ad esempio, un provider di webmail che utilizza SSL)

In tutti i casi, è necessario un PSK o un certificato per autenticare prima l'endpoint remoto. Quindi, avviene uno scambio di chiavi Diffie-Hellman, che protegge tutte le credenziali dall'osservazione, SE la chiave del server (PSK o chiave privata associata al suo certificato) non è stata compromessa, AND

Quindi, per rispondere alla tua domanda - per la tua VPN IPsec basata sugli standard, si, è sicuro, supponendo che sia configurato correttamente con una chiave strong che non sia stata compromessa.

    
risposta data 03.12.2013 - 23:43
fonte

Leggi altre domande sui tag