Cerco di capire cosa succede quando utilizzo un proxy HTTP (S) nella configurazione del mio client OpenVPN.
Qual è il vantaggio di un proxy HTTPS su un semplice HTTP? In ogni caso la crittografia avviene sul client e il pacchetto crittografato viene quindi indirizzato tramite il proxy al server VPN, giusto?
Quale IP vede il server VPN? Quello del cliente, il proxy o entrambi?
Correlato a (1.), ma per chiarimenti: cosa può vedere il proxy in termini di contenuto di pacchetti?
Le differenze di sicurezza tra i proxy HTTP e HTTPS variano a seconda di cosa stai instradando attraverso di loro:
Cancella testo (ftp, telnet, HTTP): se il proxy è HTTP, il traffico viene trasmesso in chiaro tra il tuo computer e il proxy e cancella il testo tra il proxy e la destinazione finale. Se il proxy è HTTPS, il traffico viene crittografato tra il tuo computer e il proxy, il proxy lo decrittografa e lo invia in chiaro
Dati crittografati (HTTPS, VPN): se il proxy è HTTP, il traffico viene crittografato solo una volta: sul tuo computer. Il proxy invia il traffico così come è alla destinazione. Se il proxy è HTTPS, dipende dalla configurazione del proxy. In alcuni casi, il traffico viene crittografato sul tuo computer utilizzando il certificato del proxy, decrittografato da esso, reencriptato con il certificato della destionazione e inviato. In altri casi, il traffico viene crittografato sul tuo computer utilizzando il certificato di destinazione, nuovamente crittografato con il certificato proxy e inviato al proxy. A sua volta, il proxy decodifica il traffico utilizzando la sua chiave e invia il traffico già crittografato con il certificato di destinazione remoto al sito remoto.
Nel caso di un server VPN, l'IP che vedrà sarà l'IP del proxy. Anche se la transazione viene avviata dal tuo computer, questa transazione è una somma di due connessioni TCP: una dal tuo computer al proxy e l'altra dal proxy al server VPN. Ognuno è indipendente dall'altro, quindi il server VPN non ha idea di chi si trova dietro il proxy, o addirittura che c'è un proxy.
Un proxy ha la stessa visibilità dei pacchetti del gateway predefinito. Se il proxy è un proxy HTTPS e devi installare il certificato proxy sul tuo sistema, decrittogrado tutti i pacchetti prima di inviarli, in modo che possa visualizzare il testo in chiaro anche sulle connessioni HTTPS.
È possibile verificare se il proxy sta ricodificando i dati eseguendo uno sniffer di pacchetti localmente e in remoto sulla stessa transazione, quindi confrontando il traffico. Creare un server HTTPS da qualche parte (ad esempio un server di livello gratuito su Amazon), accedervi tramite il browser e controllare i dati del certificato su entrambe le estremità. Se differiscono, il tuo proxy può vedere anche le connessioni HTTPS.