Seguridad de OpenVPN frente a una solución sofisticada de DPI

Navega tus respuestas
3

Estoy planeando construir un dispositivo (prototipo) que actúe como una puerta de enlace de seguridad portátil. Para hacer esto, elegí OpenWRT que se ejecuta en Raspberry Pi con OpenVPN para la conexión VPN. Mi propósito principal de esta compilación es desarrollar una unidad (prototipo), que una sola persona puede usar con configuraciones sencillas que lo protejan de las soluciones DPI.

Como sabemos, hay muchos dispositivos sofisticados de seguridad de red (NGFW, por sus siglas en inglés), que tienen capacidades de DPI de última generación. Según mi conocimiento, es imposible proteger el tráfico SSL de este tipo de dispositivos.

Mi pregunta es: ¿Puede OpenVPN solo proteger al usuario del tipo de intercepción (y descifrado de SSL) o necesitan más capas de protección?

    
pregunta gripen fighter 06.07.2015 - 17:52
fuente

1 respuesta

2

Las amenazas de DPI contra OpenVPN son bastante difíciles , a menos que el atacante tome de alguna manera las claves de sesión aleatorias, recién generadas que se transmiten a través de una conexión SSL. La conexión SSL, a su vez, se protege mediante un certificado precompartido y un certificado de servidor secreto . Por lo tanto, un atacante tendría que poner en peligro el propio servidor . Por lo general, dichos atacantes no pasarían la molestia de comprometer un servidor muy seguro a menos que el objetivo sea alto perfil .

La inspección profunda de paquetes, que yo sepa, suele ser efectiva en conexiones no encriptadas. Por lo general, HTTPS es eficaz para frustrar el DPI, a menos que se enfrente a entidades poderosas (niños ricos, gobierno, etc.)

Esta es la esencia de mi punto. Para más información, consulte mis fuentes a continuación.

Fuentes:

enlace

Autenticación TLS / OpenVPN / MITM Attacks en público / a>

Cómo ¿Es posible que las personas que observan que se está estableciendo una conexión HTTPS no sabrían cómo descifrarla?

    
respondido por el pandalion98 06.07.2015 - 18:08
fuente

Lea otras preguntas en las etiquetas

¿Es este un método anti-CSRF apropiado? Códigos de evento para Unix [cerrado]