¿Cómo enrutan las VPN el tráfico SSL y comprometen la seguridad?

Navega tus respuestas
6

Si mi comprensión de cómo funcionan las VPN es correcta, todo el tráfico entre yo y Internet en general se enruta a través de los servidores de la VPN. Por lo tanto, un atacante solo podría ver el tráfico cifrado entre la VPN y yo y no estaría al tanto de su contenido ni de su verdadero destino. El destino tampoco podría ver de dónde vino originalmente la solicitud (es decir, yo). Estoy en lo cierto hasta ahora?

Entonces, cuando SSL entra en juego aquí, ¿cómo funciona todo esto? Supongamos que voy a Gmail a través de la VPN. Dado que la VPN se conecta a Gmail en mi nombre (y viceversa), ¿no necesitarían descifrar las comunicaciones entre Gmail y mi computadora y volver a cifrarlas para enviarlas a ambos extremos? Si ese es el caso:

  • obviamente, ¿esto no significa que la VPN puede ver todas las comunicaciones de texto simple?
  • y si lo anterior es cierto, ¿no sería un ataque MITM?
  • y si lo anterior es cierto y no he instalado ningún nuevo certificado de raíz de confianza, ¿por qué mi navegador no me alerta?

La pregunta es sobre las VPN en general, pero estoy usando OpenVPN.

    
pregunta 999999 11.01.2013 - 22:47
fuente

3 respuestas

7

La comunicación de red se realiza utilizando varias capas independientes . VPN es una capa y un canal para la comunicación, y SSL es diferente. No interfieren.

Sobre un tema muy diferente, alguien dijo (y fue ridiculizado por ello) que internet es una serie de tubos . Pero puedo usar la analogía del tubo para explicar el concepto de SSL dentro de VPN.

Imagine SSL es como un tubo que se ejecuta desde su navegador al servidor de Gmail. Envías datos dentro de ese tubo y nadie afuera puede verlos. VPN es un tubo diferente y más grande para el servidor VPN. Ahora pasa el tubo SSL a través del tubo VPN. Sus datos están dentro de esos dos tubos cuando sale de su computadora, pero el tubo VPN terminará en el servidor VPN donde el tubo SSL aún continúa sin interrupciones hacia Gmail.

VPN es el tubo negro y los tubos de color son los túneles SSL a todos sus sitios importantes (Gmail, Paypal, etc.) El cable de cobre es su información.

Por lo tanto, no se compromete la seguridad de sus datos.

Espero que la visualización ayude.

    
respondido por el Cristian Dobre 11.01.2013 - 23:07
fuente
7

La VPN reenvía paquetes de datos indiscriminadamente. Cuando hace SSL con el servidor de Gmail, la conexión SSL en realidad consiste en "registros" de datos (descritos en el SSL / TLS standard ) que se envían a través de una conexión TCP entre su máquina y el servidor de Gmail. Esa conexión TCP, a su vez, está incorporada como una gran cantidad de paquetes IP individuales.

Con una VPN, todos los paquetes IP que usted emite van al servidor VPN; y todos los paquetes IP que son devueltos por el servidor de Gmail van al servidor VPN. El servidor VPN reenvía estos paquetes IP codificándolos en el túnel que mantiene con su máquina. Por lo tanto, los paquetes IP (que codifican una conexión TCP que contiene la conexión SSL con el servidor de Gmail) se codifican en el túnel y, por lo tanto, se cifran de nuevo . Hay dos capas de cifrado anidadas, la conexión SSL entre su máquina y el servidor de Gmail, y encima de la conexión (que puede ser algo de SSL, también) entre su máquina y el servidor VPN. El servidor VPN elimina y agrega la capa externa, pero la capa interna permanece opaca para ese servidor.

El servidor VPN está, en general, en una posición ideal para ejecutar un ataque MitM en usted, ya que controla todos los datos que entran y salen de su máquina; pero la capa SSL (la que se encuentra entre su máquina y el servidor de Gmail) lo protege contra todos los atacantes en la ruta entre su máquina y el servidor de Gmail, y eso incluye el servidor VPN.

    
respondido por el Thomas Pornin 11.01.2013 - 22:59
fuente
2

Si bien es cierto que el punto final al que Google enviaría información sería la puerta de enlace VPN, lo que falta es el contenido del SSL. Su computadora aún genera la clave privada para la sesión SSL y la envía de tal manera que solo el servidor con el que desea hablar (GMail) puede abrirla. Luego, cuando usted y GMail están hablando sobre esa conexión segura, envíe su contraseña de manera que solo GMail pueda leer. Por lo tanto, el punto final de VPN no sabe nada acerca de su comunicación con GMail y GMail solo sabe que están enviando al punto de entrada de la VPN.

    
respondido por el AJ Henderson 11.01.2013 - 23:02
fuente

Lea otras preguntas en las etiquetas

Seguridad de comunicaciones del sistema integrado ¿Qué es más seguro: muchos subdirectorios, o muchos subdominios?