¿Hay algún beneficio en el uso del servicio VPN para aplicaciones con fijación de SSL?

Navega tus respuestas
2

Entiendo que el uso de un servicio público de VPN puede hacer que la conectividad de la red sea más segura en el caso de HTTP, o incluso HTTPS sin el certificado de fijación en su lugar.

Supongamos que tenemos una aplicación cliente grande que utiliza la fijación SSL para todas las comunicaciones HTTPS con nuestros servidores. ¿Qué ventajas adicionales puede agregar el uso del servicio público de VPN a nuestra aplicación (no al resto del sistema) desde la perspectiva de seguridad?

    
pregunta Petr Dvořák 08.06.2016 - 20:28
fuente

1 respuesta

1

Está mezclando conceptos que contrarrestan modelos de amenazas muy diferentes y, por lo tanto, es difícil responder a las preguntas.

Digamos que una ruta de conexión hipotética se vería así: 

A <-> B <-> C <-> D <-> E <-> F

con

  • A siendo el cliente,
  • B es un WiFi público al que estás conectado,
  • C es el ISP del proveedor de WiFi,
  • D y E son saltos intermedios entre ISP y
  • F es su objetivo al que se conecta A .

VPN

Una VPN establece un túnel seguro entre su máquina y el punto final del túnel, no más . En la ruta de ejemplo, esto cubriría B y C, tal vez D. Esto tiene varios beneficios si no confía en su ISP local; tal vez porque ese ISP es un WiFi público o de otro modo no confiable y se espera que detecte su tráfico:

  • Si usa HTTP, solo puede ser detectado (y modificado) del proveedor de VPN en adelante,
  • Si usa HTTPS, sus consultas de DNS no pueden ser rastreadas (desde B o C ), por lo tanto, se ocultan (de esos) los sitios que visita.

De cualquier manera, no oculta sus consultas de DNS a su proveedor de VPN o su ISP.

Un beneficio adicional es el seudonimato; no filtra la dirección IP asignada por su ISP, sino la del proveedor de VPN, agregando una capa adicional de despseudonimización para identificarlo.

HTTPS con fijación de clave pública

Fijación de clave pública (principalmente) anula dos amenazas que podrían interoperar:

  1. Un hombre en el medio ( B , C , D o E ) que rompería la conexión de otro modo segura entre A y F ,

  2. Una autoridad de certificación de colorete que crea certificados para 1. poder presentarlos y validarse correctamente.

    Una sub amenaza para esto sería que podría instalarse una CA deshonesta en su almacén de confianza (por ejemplo, mediante proxy HTTPS utilizados en grandes organizaciones para inspeccionar activamente las conexiones HTTPS en busca de amenazas, pero generalmente se consideran OK.

La fijación de claves públicas puede anular los MITM que pueden (por cualquier motivo) presentar (de lo contrario) certificados válidos para interrumpir la comunicación. Esto permitiría a B , C , D o E (no se excluyen mutuamente) leer y / o alterar su tráfico HTTPS.

Conclusión

Un cliente que utiliza HPKP (correctamente) es razonablemente seguro, aunque reduce la facilidad de uso: los proxies HTTPS mencionados anteriormente harían imposible la comunicación cuando de otro modo sería posible. En tales casos, las VPN generalmente no están permitidas, por lo que una VPN no mejoraría la facilidad de uso allí.

Sin embargo,

A obtiene el seudonimo hacia F mediante el uso de una VPN, sin embargo, es probable que esta función de autenticación lo desafíe dentro de la aplicación.

    
respondido por el Tobi Nary 08.11.2017 - 07:20
fuente

Lea otras preguntas en las etiquetas

¿Cómo carga el malware un dll de la memoria? ¿La eliminación de la interacción del usuario crea un entorno seguro que anula XSS?