¿Qué sucede si mi VPN se cae momentáneamente mientras uso una conexión SSL?

7

La situación

Estoy en una oficina con una conexión que se enruta a través de un firewall BigIP, con intercepción SSL; nuestras computadoras tienen un certificado raíz para permitir los certificados de intercepción. Si navego por un sitio como enlace y veo el certificado de seguridad, veo el certificado emitido por el firewall, pero los navegadores lo aceptan alegremente porque se asigna a un certificado raíz en la computadora.

Tengo una conexión VPN que está conectada a través del firewall; El certificado utilizado en la negociación de VPN es el certificado de servidor VPN esperado, lo que indica que el firewall no está interceptando esta conexión. Cuando estoy conectado, todo mi tráfico se enruta a través de la VPN, y el tráfico HTTPS muestra los certificados de sitio adecuados en lugar del certificado de firewall, lo que indica que ya no se está interceptando mi tráfico HTTPS.

La confusión

De vez en cuando, el servidor VPN interrumpe momentáneamente la conexión (OpenVPN muestra que está renegociando la conexión, luego se vuelve a conectar en 3-5 segundos). ¿Qué sucede con cualquier ATAX / otras solicitudes HTTPS en segundo plano que se ejecutan mientras esto sucede? Parece que la conexión nunca pierde un tiempo (los datos actualizados continúan actualizándose en la página), lo que sugiere que el tráfico continúa fluyendo incluso cuando la conexión VPN está inactiva.

¿El navegador renegocia la conexión HTTPS momentáneamente (y de manera transparente) utilizando el certificado de firewall mientras la conexión VPN está inactiva? ¿O el firewall de alguna manera ve que los datos son parte de una conexión existente y pasan los datos sin MITMing? ¿O es que las llamadas AJAX realmente se rechazan debido al cambio de certificado, y la página continúa actualizando las cosas que recogió antes de la caída, de modo que solo se siente continuamente?

Los detalles

  • Plataforma: Windows 7
  • Túnel: servidor OpenVPN, con el cliente GUI de OpenVPN
  • Navegador: Google Chrome (y algunas veces Mozilla Firefox)
  • Cortafuegos: f5 BigIP, posiblemente AFM

Esta no es una pregunta sobre si eludir un firewall con una VPN es (moral, ético, legal, etc.); esta es una pregunta sobre qué sucede con los datos cuando la VPN se cae momentáneamente y si puede ser objeto de intercepción. Tengo autorización para hacer esto específicamente porque tiene implicaciones legales.

    
pregunta Doktor J 14.09.2017 - 16:42
fuente

2 respuestas

3

El "tcp" en su pila de red compensará felizmente una interrupción menor que el tiempo de espera del tcp, pidiéndole al servidor que reenvíe los paquetes que haya perdido. La conexión de zócalo existente no se cambiará a través de una ruta diferente (esto se hace a menudo en enrutadores pero no en dispositivos de punto final). Dado que la pila de la red tcp es muy buena en esto, no hay capacidad dentro del navegador para manejar dichos eventos.

No veo cómo se puede entregar el contenido sin ninguna conexión de red. Tenga en cuenta que la representación y la ejecución de javascript se producen de forma asincrónica a partir de la recuperación de contenido (tanto desde los servidores como desde la memoria caché local), por lo que la pantalla puede cambiar sin que se intercambien paquetes de datos.

    
respondido por el symcbean 14.09.2017 - 21:09
fuente
1

Su aplicación VPN en general se instala como un controlador de red. Esto significa que le dice a su sistema 'Hey! ¡Envía todo tu tráfico a través de mí!

Ahora, cuando su VPN se retire, podría deberse a varias cosas:

  • Errores entre su enrutador y el sistema

  • Los errores en el controlador / aplicación VPN o alguna influencia externa obligan al sistema a dejar de usar el adaptador de red

  • Su ISP acaba de tener una interrupción menor (improbable)

  • Combinaciones de los anteriores.

En todos estos casos, el minuto en que se interrumpe la conexión, el * adaptador de red o su adaptador VPN morirán. Esto se basa únicamente en la configuración de su sistema y en su velocidad / capacidad para cambiar. Esto es equivalente a abrir una llave y alcanzar debajo del fregadero para apagar la válvula. No hay lugar para esos paquetes. PERO : si su sistema puede o está configurado para usar otro adaptador como un retroceso, entonces Dependiendo de qué tan rápido pueda cambiar, es posible que su sistema continúe enviando estos paquetes a su destino, lo que significa que su firewall podrá ver el contenido nuevamente.

Otras posibles estrategias de mitigación podrían incluir bloqueo de todos los puertos, excepto los puertos VPN (bloquee todo excepto UDP 1194): esto garantizará que todos los datos se enruten a través del puerto VPN.

Sin embargo, muchos sitios lo desconectarán de inmediato si detectan paquetes que contienen la misma cookie que provienen de varias direcciones IP por segundos. Pero nuevamente, existe la posibilidad de que su empleador (o la persona que administra el firewall) transfiera y lea los datos.

Además, debo mencionar que muchos programas de VPN vienen con un interruptor de interrupción que monitorea si su conexión VPN falla, y detiene instantáneamente la transmisión de paquetes. OpenVPN todavía no.

    
respondido por el thel3l 14.09.2017 - 16:58
fuente

Lea otras preguntas en las etiquetas