Autentificación VPN y administradores de red

Navega tus respuestas
3

¿Es posible que un administrador de red (o atacante) monitoree el tráfico enviado a un servidor VPN durante la autenticación y termine pudiendo descifrar los datos como si fueran el usuario legítimo? No entiendo qué impide que alguien con ese tipo de acceso pueda simplemente copiar los mismos paquetes que se envían al usuario durante el inicio de sesión y "clonar" todo el tráfico enviado durante la sesión de VPN. Sé que hay todo ese intercambio de claves que sigue, y aunque no lo entiendo, aún no entiendo por qué no estaría disponible para alguien con suficiente acceso al tráfico.

Espero que alguien pueda aclararme esto.

Gracias.

    
pregunta Nathan 29.02.2016 - 03:57
fuente

1 respuesta

1

Depende de cómo se organiza tu VPN. En general, la criptografía asimétrica se usa para tales casos (el mismo se usa para TLS (https: //), por ejemplo)

Aquí hay 2 ejemplos. Están simplificados en gran medida, solo para mostrar la idea principal.

  • El servidor puede tener claves privadas y públicas. Se puede usar una clave pública para cifrar cualquier cosa, pero solo se puede usar una clave privada para descifrarla. El ejemplo de algoritmo que permite dicha clave pública / privada es RSA . El servidor te envía una clave pública y un número aleatorio. Encripta este número aleatorio y su contraseña con esta clave y devuélvalo. Solo el servidor puede leerlo ya que solo el servidor posee clave privada. Entonces, me conecto al servidor. El servidor me envía un número aleatorio diferente, por lo que no puedo simplemente reutilizar su paquete.

  • El cliente y el servidor pueden utilizar el algoritmo de intercambio de clave Diffie–Hellman para encontrar alguna clave compartida. Hay algunas matemáticas, por lo que puede consultar la descripción aquí: enlace

Además de Diffie–Hellman , también debes leer sobre Rivest-Shamir-Adleman ( RSA ) y el algoritmo de firma digital ( DSA ).

    
respondido por el user996142 29.02.2016 - 19:14
fuente

Lea otras preguntas en las etiquetas

¿Mejor alternativa a la lista blanca de rutas WAF? ¿Es posible conocer un número imei de otro móvil usando algún tipo de tecnología inalámbrica?