Intento entender qué sucede cuando uso un proxy HTTP (S) en mi configuración de cliente OpenVPN.
¿Cuál es la ventaja de un proxy HTTPS sobre HTTP simple? En cualquier caso, el cifrado se realiza en el cliente y el paquete cifrado se enruta a través del proxy al servidor VPN, ¿no?
¿Qué IP ve el servidor VPN? ¿El del cliente, el proxy o ambos?
Relacionado con (1), pero para aclarar: ¿Qué puede ver el proxy en términos de contenido del paquete?
Las diferencias de seguridad entre un proxy HTTP y HTTPS varían según el enrutamiento a través de ellos:
Texto claro (ftp, telnet, HTTP): si el proxy es HTTP, el tráfico se transmite en texto claro entre su computadora y el proxy, y el texto claro entre el proxy y el destino final. Si el proxy es HTTPS, el tráfico se cifra entre su computadora y el proxy, el proxy lo descifra y lo envía en texto claro
Datos cifrados (HTTPS, VPN): si el proxy es HTTP, el tráfico se cifra solo una vez: en su computadora. El proxy envía el tráfico tal como está al destino. Si el proxy es HTTPS, depende de la configuración del proxy. En algunos casos, el tráfico se cifra en su computadora usando el certificado del proxy, se descifra con él, se vuelve a cifrar con el certificado de la destionación y se envía. En otros casos, el tráfico se cifra en su computadora utilizando el certificado de destino, se cifra nuevamente con el certificado proxy y se envía al proxy. A su vez, el proxy descifra el tráfico utilizando su clave y envía el tráfico ya cifrado con el certificado de destino remoto al sitio remoto.
En el caso de un servidor VPN, la IP que verá es la IP del proxy. Incluso si su computadora inicia la transacción , esta transacción es una suma de dos conexiones TCP: una desde su computadora al proxy y la otra desde el proxy al servidor VPN. Cada uno es independiente del otro, por lo que el servidor VPN no tiene idea de quién está detrás del proxy, o incluso de que exista un proxy.
Un proxy tiene la misma visibilidad de sus paquetes que su puerta de enlace predeterminada. Si el proxy es un proxy HTTPS, y tiene que instalar el certificado de proxy en su sistema, descifrará todos los paquetes antes de enviarlos, de modo que pueda ver texto sin formato incluso en las conexiones HTTPS.
Puede probar si el proxy está volviendo a cifrar sus datos ejecutando un rastreador de paquetes local y remotamente en la misma transacción, luego comparando el tráfico. Cree un servidor HTTPS en algún lugar (por ejemplo, un servidor de nivel gratuito en Amazon), acceda a él utilizando su navegador y verifique los datos del certificado en ambos extremos. Si difieren, su proxy puede ver incluso las conexiones HTTPS.