En mi computadora portátil de trabajo, regularmente creo una conexión VPN que uso para escritorio remoto en nuestro servidor web. ¿Es seguro hacerlo en una cafetería donde hay personas al azar conectadas a la misma red wifi?
En mi computadora portátil de trabajo, regularmente creo una conexión VPN que uso para escritorio remoto en nuestro servidor web. ¿Es seguro hacerlo en una cafetería donde hay personas al azar conectadas a la misma red wifi?
Sí, una conexión VPN encripta la conexión entre su computadora y el host VPN remoto. La conexión se vería como una tontería para cualquiera que olfatee el tráfico, ya sea en la cafetería o en Internet. Vale la pena señalar que lo mismo se aplica a cualquier contenido enviado a través de HTTPS, incluso si no está utilizando una VPN.
También vale la pena señalar que si está utilizando la versión actual de Microsoft Terminal Services (es decir, el escritorio remoto), la conexión VPN ni siquiera es estrictamente necesaria (desde un punto de vista de seguridad) ya que la conexión del escritorio remoto también es cifrado Tenga en cuenta que esta configuración puede reducirse opcionalmente mediante la configuración administrativa en la red, por lo que la VPN aún no es una mala idea.
Como ya se ha dicho, es "seguro" usar VPN en una red inalámbrica pública. VPN utiliza certificados para establecer un flujo de datos cifrados entre su computadora y el servidor VPN. Puedes usar una herramienta como wireshark para verificar esto. Sin embargo, creo que hay alguna posibilidad de inseguridad al menos en teoría. Alguien PODRÍA crear un punto de acceso falso con el mismo SSID que el punto de acceso real y realizar un ataque de hombre en el medio, para SSL VPN de todos modos. Tendrías que obtener una señal más fuerte del AP falso para que tu computadora elija esa sobre la real.
Consulte el siguiente enlace para obtener información detallada: Mitigar los métodos de ataque de SSLStrip en el acceso seguro SSL VPN
En lo que respecta a la respuesta de @AJ Henderson que dice que las VPN pueden no ser necesarias para la "versión actual de los servicios de terminal", debe saber que incluso si el cliente está "más nuevo" disponible, una configuración de AD dentro de la Política de grupo puede debilitar la seguridad y hacer que los escenarios wifi sean inseguros. Esto se hace a menudo como una compensación para permitir una funcionalidad más amplia.
Esto realmente depende del tipo de VPN que estés usando. Tendría que configurarse correctamente en ambos lados (cliente y servidor, cuando esta terminología sea aplicable).
Algunos servidores PPTP no proporcionan ningún cifrado de forma predeterminada. Además, debe asegurarse de utilizar la forma de autenticación adecuada (consulte este aviso por ejemplo).
OpenVPN e IPsec (en algunos casos) utilizan certificados X.509 para autenticar el servidor (al menos). Esto sufriría en parte los mismos problemas de PKI que afectan a HTTPS.
Debe asegurarse de verificar correctamente el certificado de la parte remota al conectarse (como siempre con los certificados); más específicamente, debe verificar que el certificado sea de confianza y que su nombre coincida con lo que está buscando. Las implementaciones correctas deben realizar estas verificaciones.
También puede encontrar un problema de CA deshonesto / comprometido, pero creo que (espero) esto es bastante raro. En caso de duda, reduzca la lista de CA confiables en su máquina si puede.
IPsec con un secreto compartido. Estos pueden estar bien, siempre y cuando el secreto compartido sea más secreto que compartido. El conocimiento de este secreto compartido puede permitir a un MITM hacerse pasar por el servidor (los enlaces en esa página también deberían ser de interés). / p>
Cuanto más grande sea la organización, más difícil parece ser mantener ese secreto compartido en secreto. Una búsqueda rápida de instrucciones de VPN para varias universidades parece indicar que algunos de estos secretos realmente se hacen públicos.
A pesar de los problemas de PKI, una solución basada en certificados dificultaría la suplantación del servidor, ya que la clave privada coincidente del certificado no se compartiría con ningún usuario.
Entonces, sí, una VPN puede protegerlo en una red que no es de confianza (al menos en la medida de la red VPN remota), pero como todo, debe configurarse de manera adecuada.
VPN satisface sus necesidades siempre que se cumplan los siguientes requisitos:
Depende de cómo esté configurada tu VPN. Si su cliente verifica la identidad del servidor, por ejemplo, utilizando certificados, entonces sí. Si no lo hace, todavía puedes ser MITM-ed.
El primer punto del cual depende la seguridad de su solución propuesta es la seguridad de su sistema operativo, que es el punto de partida de su VPN.
Demasiados administradores tienden a olvidar que usar una VPN para llegar a la red de su empresa desde un sistema operativo débil es ante todo un riesgo de seguridad, y uno de los más importantes, ya que una conexión entrante de VPN generalmente se clasifica como confiable (en la empresa firewall, en la empresa IPS, en todas partes).
Aquí hay un escenario de realidad común: su computadora está alojada por un keylogger. (Devolución de la experiencia real: la cifra habitual está por encima de 1. Control del usuario final con una solución VPN: la cifra habitual está por debajo de 1).
Una VPN configurada correctamente debería bloquear la visibilidad de Internet a través de tráfico no cifrado (es decir, IP normal). Todo debería pasar por esp (50)
ah (51 ahora ya casi no se usa) o 443/tcp/IP aka https .
Escenario de realidad: su configuración de VPN está activada pero el tráfico en la conexión inalámbrica bedide el túnel está abierto y nada en el sistema lo controla, y el administrador no es lo suficientemente consciente de la red como para verlo al principio.
Supongo que no escribes tcpdump -i en1 cada vez que inicias una VPN en una interfaz llamada en1 para comprobar que 53/udp/IP , 67/udp/IP … aún están inundados junto a la entrada del túnel :) y no solo 500/udp/IP .
Supongo que no verificas con arp -a si algún vecino ya está conectado a tu PC en el entorno de Wi-Fi.
En la mayoría de los sistemas operativos, los usuarios, incluso los administradores, e incluso los administradores conscientes de la seguridad, tienden a confiar en la función automática de aceptar un certificado remoto. Esta función está oculta en los navegadores y, a veces, en el propio sistema operativo. Una confianza que no verificas es mágica. Es un riesgo.
Cuando esta magia implica que primero debes lanzar Internet Explorer
Para construir tu VPN, esto vale una vida completa de investigación y horror.
Cuando se conecta con su compañía en una VPN construida sobre una conexión https , su compañía debería obligarlo a verificar el certificado de su compañía para asegurarse de que no está usando uno que sea presentado por un servidor web falso dentro de su Wi -Fi barrio. Debe tener la huella digital del certificado de su compañía en un documento independiente que pueda verificar en cualquier situación.
Esta conexión no debe construirse sobre la confianza mágica .
Lea otras preguntas en las etiquetas wifi man-in-the-middle vpn