Si un atacante está interceptando todo mi tráfico, ¿podrá escuchar en mi sesión de VPN?

15

Si soy un usuario remoto, me conecto a mi empresa desde mi casa, utilizo el túnel VPN IPSec o mediante SSL, y un atacante está interceptando todo mi tráfico, ¿podrá ver mi sesión de VPN en el claro? allí antes de las fases IKE y todos los intercambios). ¿Y será diferente en SSL e IPSec?

[MI Firma] --- > [Cortafuegos de mi Firma] --- > [Internet] --- > [Atacante] < --- [Yo]

    
pregunta Franko 06.01.2012 - 13:43
fuente

1 respuesta

24

La criptografía involucrada en la VPN está diseñada precisamente para mantener sus datos seguros incluso en la situación de un atacante que puede interceptar todo el tráfico; Lo mejor que un atacante podría hacer en esa situación es interrumpir el tráfico (es decir, cortar los cables).

Tanto SSL como IPsec-with-IKE utilizan la criptografía de manera adecuada, por lo que no debería haber una diferencia cualitativa entre los dos.

Algunos puntos son dignos de mención:

  • Tanto SSL como IPsec (en "handshake" e "IKE", respectivamente) dependen de certificados para asegurarse de que usan la clave pública "correcta" (la clave del par). Por lo tanto, la seguridad de la autoridad de certificación en la que confía es primordial (estos corresponden a los "certificados raíz", también conocidos como "anclas de confianza"). Si una CA está corrompida por el atacante, entonces puede emitir certificados falsos y, a través de la intercepción, construir un Man. Ataque en el medio .

  • El criptográfico es correcto, pero todavía tienes que lidiar con las implementaciones. Las implementaciones pueden tener errores explotables, lo que lleva a la fuga de datos confidenciales o incluso a un desbordamiento total de búfer y similares. La mayoría de las implementaciones SSL e IPsec han sufrido por esto. Las reglas habituales para mantener los sistemas completamente actualizados y parcheados se aplican aquí.

  • Los ataques de canal lateral son ataques que intentan aprovechar los datos filtrados por las implementaciones; en el caso de una VPN a través de Internet, el principal canal de fuga sería tiempo : el atacante podría tratar de deducir cosas en las claves criptográficas involucradas en función del tiempo promedio que se tarda en realizar algunos cálculos. SSL es el protocolo que se ha usado con más frecuencia para demostrar ataques de canal lateral, por lo que las buenas implementaciones de SSL ahora son conscientes de lo que deben hacer para evitar este tipo de fugas. Si bien los ataques de canal lateral pueden aplicarse tanto a SSL como a IPsec, personalmente confío en un poco más en una implementación aleatoria de SSL que en una implementación aleatoria de IPsec para haber incluido las protecciones necesarias, solo por la tradición de usar SSL como ejemplo principal.

  • En todos los casos, el atacante podrá observar la cantidad de datos intercambiados a través de la VPN. Esa observación puede ser un poco borrosa debido al relleno, según el cifrado simétrico utilizado. Sin embargo, el atacante podrá deducir cosas como la hora exacta en la que lees tus correos electrónicos, el tamaño individual de cada correo electrónico y otra información similar. Esto es análisis de tráfico . Esto puede o no ser un problema en su situación particular.

  • Si el atacante poderoso realmente está detrás de usted, específicamente, robará su computadora portátil y / o entrará en su casa y plantará un registrador de teclas, en cuyo punto desaparecerá la protección VPN.

respondido por el Thomas Pornin 06.01.2012 - 14:15
fuente

Lea otras preguntas en las etiquetas