Autenticación VPN a través de WiFi - ¿Es seguro?

Navega tus respuestas
3

Cuenta esta pregunta como parte de mi ignorancia sobre cómo se realiza el esquema de autenticación en tu sesión VPN típica. Pero aquí va:

A menudo aconsejamos a los usuarios preocupados por la seguridad que si uno debe usar una conexión wifi pública no segura (por ejemplo, en un aeropuerto, cibercafé, restaurante, etc.), siempre conéctese a una VPN privada. . Esto permitirá al usuario conectarse y navegar desde una red confiable con todo el tráfico encriptado.

Mi pregunta es esta: El proceso de conexión / autenticación. Claro, VPN ofrece más seguridad. Pero si alguien con un rastreador de paquetes (como wireshark) de alguna manera intercepta mi intento de inicio de sesión, ¿el uso típico de VPN incluye seguridad de autenticación por aire?

ACTUALIZACIÓN: En otras palabras, ¿es estándar que parte del proceso de autenticación VPN incluya encriptar la combinación de nombre de usuario y contraseña del cliente antes de enviar por aire? Si la intención es proteger al usuario del ataque MIM, esto podría ser un punto débil.

Si mi pregunta parece extraña de alguna manera, nuevamente, este es mi intento de ser más informados sobre cómo puede funcionar este paso en la seguridad de las comunicaciones a través de wifi. Creo que la pregunta supone que algún tipo de esquema de cifrado modular se incorpore a la rutina de autenticación para asegurar el tráfico antes de que comience la sesión de VPN. Básicamente, se reduce a: ¿se aplica el cifrado en esta etapa y, en caso afirmativo, de qué tipo?

Y gracias, chicos. Eres el mejor.

    
pregunta Daniel 26.11.2013 - 00:25
fuente

5 respuestas

2

Una VPN que valga ese nombre garantizará un arranque apropiado para el cifrado, es decir, protegerá las credenciales también. La mayoría de las VPN dependerán de SSL o IPsec. Criptográficamente hablando, una VPN potenciada por SSL es similar a navegar por un sitio web HTTPS: primero SSL, luego los datos bajo la protección de SSL; Una vez que se ha establecido la capa SSL, el cliente tiene alguna garantía de que habla con el servidor correcto y puede enviar las credenciales de forma segura, que se cifrarán como todos los demás datos, y no irán al tipo equivocado. Con IPsec, ISAKMP / IKE o algo similar se utilizará, y el modelo es el mismo que con SSL.

SSL e IPsec difieren en los detalles de cifrado y en cómo dividen los datos en paquetes de transporte (con SSL, los paquetes internos se serializarán en un túnel secuencial que se ejecuta a través de una conexión TCP; con IPsec, la traducción es por paquete y más directo) pero para el modelo de seguridad, no difieren mucho: el cliente autentica el servidor a través del certificado del servidor y construye el túnel criptográfico a partir de él; Una vez que el túnel está en funcionamiento, el cliente envía las credenciales al servidor, bajo la protección de ese túnel, para que el servidor sepa quién está hablando con él.

Una VPN muy pobre y mal escrita puede filtrar tus credenciales, pero bueno, eso es lo que obtienes por usar tecnología de mierda.

    
respondido por el Thomas Pornin 03.02.2014 - 21:51
fuente
1

Siempre que su VPN esté encriptada y la VPN proporcione la autenticación del punto final al que se conecte, entonces está bien. Wifi no es diferente de cualquier otra red no confiable (es decir, Internet) por lo que si la VPN sería segura para la conexión a través de Internet, también sería segura para la conexión a través de Wifi.

    
respondido por el AJ Henderson 03.12.2013 - 15:49
fuente
1

La respuesta a su pregunta (citada a continuación) sería sí, pero quizás de la forma que usted espera.

  

es estándar que parte del proceso de autenticación VPN incluye   cifrar la combinación de nombre de usuario / contraseña del cliente antes de   enviando por el aire?

La VPN configura un canal de comunicación cifrado. No se envía ninguna contraseña en este momento. Puede que tenga que ingresar una contraseña, pero eso es solo para desbloquear una clave de certificado de cliente local. Después de que el canal está configurado, todos los datos que se envían o reciben se cifran. Incluyendo cualquier contraseña.

Una buena lectura de esto es OpenVPN y SSL VPN Revolution de Charlie Hosner. Page 10 "Entonces, ¿cómo funcionan estas cosas?" Parece más relevante, pero también en la página 8 "VPN en pocas palabras". Por otra parte, todo el documento ofrece información general sobre VPN, Criptografía, PKI, IPsec y OpenVPN.

    
respondido por el Gos Bilgon 19.12.2013 - 22:52
fuente
0

Depende de qué VPN estés usando. Las VPN de clave pública como OpenVPN son invulnerables a los ataques de intermediarios si conoces y verificas la huella digital de la clave del servidor. Si utiliza la autenticación de clave, incluso no necesita esto. PPTP ... bueno, simplemente no lo uses. Apesta.

No ha necesitado verificar la huella dactilar mientras usaba contraseñas si había una VPN con autenticación SRP. Bueno, por algunas razones, SRP no es popular ...

    
respondido por el Smit Johnth 26.11.2013 - 08:14
fuente
0

Supondré que estás hablando de una VPN IPsec.

Las VPN IPsec típicas del "guerrero de la carretera" se autentican de varias maneras:

  1. Se requiere un secreto compartido (también conocido como PSK o clave precompartida) para la autenticación mutua
  2. Certificado, donde el cliente conoce a una CA de confianza, con la cual se valida la identidad del servidor, y el cliente también tiene su propia clave en la que el servidor confía.
  3. (1) y (2) se pueden usar en combinación con XAUTH, también conocido como "autenticación de usuario extendida". (Por lo general, este es un nombre de usuario + contraseña, pero podría ser un token RSA, etc.)
  4. Autenticación "RSA híbrida", que combina los beneficios de validación de identidad de PKI con XAUTH para la autenticación. (esto es bastante equivalente a la forma en que se autenticaría, por ejemplo, con un proveedor de correo web que usa SSL)

En todos los casos, se requiere una PSK o un certificado para autenticar primero el punto final remoto. Luego, se produce un intercambio de claves Diffie-Hellman, que protegerá las credenciales de la observación, SI la clave del servidor (PSK o clave privada asociada con su certificado) no se ha comprometido, Y no se está produciendo un ataque de hombre en el medio.

Entonces, para responder a su pregunta, para su VPN IPsec basada en estándares típicos, sí, es seguro, suponiendo que está configurado correctamente con una clave segura que no se ha comprometido.

    
respondido por el mpontillo 03.12.2013 - 23:43
fuente

Lea otras preguntas en las etiquetas

El formato del archivo passwd de John the Ripper con Salt no funciona Si hospedo un formulario web que envía los datos de CC a un proveedor, ¿hay host de formulario de implicaciones de PCI?