He estado buscando y buscando, pero parece que no puedo encontrar una explicación técnica lo suficientemente buena. De lo que he reunido, hay dos "cosas" capaces de asegurar VPN:
1) Clave precompartida: esta maneja la autenticación, porque cada lado debe tener la misma clave. Sin embargo, ¿cómo se cifran los paquetes reales y cómo sabe el dispositivo VPN cómo descifrarlos? El PSK no es una clave simétrica (espero, ya que es corta), así que ...
2) Certificados: Esto tiene sentido conceptual para mí: el certificado del servidor se usa para cifrar los datos, y el certificado del cliente se usa para autenticar al cliente. ¿Derecha? Entonces, ¿el cliente entrega su certificado público al servidor con anticipación para poder identificarlos (o se ha establecido la confianza en la cadena?), Y cada paquete se cifra y luego se firma y luego se encapsula en otro paquete para viajar?
Entiendo conceptualmente el concepto de tunelización, pero estoy tratando de averiguar los detalles reales de la implementación del cifrado, y tengo dificultades. Si alguien pudiera proporcionar algunas respuestas o señalarme algunos recursos que pudiera leer, se lo agradecería enormemente.
Algunas notas adicionales:
-
No tengo ningún dispositivo VPN en particular en mente.
-
VPN debería mitigar los ataques MITM, ya que los datos deben cifrarse de tal manera que solo el dispositivo final pueda descifrarlos, ¿verdad? O solo el cliente y el dispositivo final pueden, en el caso de una clave simétrica.
-
Se mencionaron SSTP e IPSec, pero no puedo encontrar los detalles relevantes para responder a mis preguntas anteriores.