Hablé con un administrador de sistemas en un centro de negocios que tenía la intención de realizar básicamente un MiTM (como él lo llamaba) en todas las conexiones de su red porque la gente en su edificio de oficinas está usando VPN y conexiones https para transmitir video, descargar torrents Estos servicios utilizan todo el ancho de banda, pero como son conexiones cifradas, su equilibrador de carga no funciona.
La empresa de seguridad que contrató lo convenció de que es posible configurar un servidor proxy con su propio certificado válido y firmado (por supuesto, para el servidor proxy) que engañaría a todos los navegadores y conexiones VPN para aceptar el proxy como su punto final. Esto le permitiría descifrar todo el tráfico, verificar su contenido y acelerar si fuera necesario, cifrarlo una vez más y enviarlo en la forma prevista sin que nadie sea más sabio.
En la parte de https logré explicarle / convencerlo de que cualquier implementación de https medio decente está diseñada específicamente para evitar los ataques de MiTM porque los certificados están vinculados a un dominio o empresa específica. No hay forma de que su proxy pueda engañar a un navegador para que piense que se está conectando con el sitio web mientras que de hecho se conecta al servidor proxy.
Sin embargo, en lo que respecta a las VPN, está convencido (o, mejor aún, de la empresa de seguridad que contrató para su red) de que muchos servicios o protocolos de VPN aceptarán cualquier certificado firmado por una CA para crear una conexión segura. No se verifica si ese certificado se atribuye o no al servidor al que se está conectando.
Esto me parece muy improbable y al contrario de todo lo que sé sobre conexiones seguras, pero antes de retomar esa discusión, quiero asegurarme de que no me esté perdiendo alguna vulnerabilidad poco conocida en los protocolos VPN de software que muy pocas personas conocen. .
Mi pregunta: ¿es cierto que algunos protocolos VPN o el software VPN solo verifican la validez de un certificado al verificar si está firmado por una CA y no verificará en absoluto si el certificado es de hecho atribuido al servidor que usted se están conectando a?
- edición pequeña - Para especificar por qué debería ser posible: según la empresa de seguridad, un buen número de software VPN aceptará cualquier certificado válido y no verificará si el certificado está realmente vinculado al servidor: se acepta cualquier certificado válido.