¿La autenticación TLS encripta el nombre de usuario y la contraseña?

6

Me conecto a mi proveedor de VPN utilizando openVPN. El servidor utiliza una combinación de nombre de usuario / contraseña y autenticación TLS.

Si estoy usando un wifi público y me estoy conectando a mi VPN, ¿mi nombre de usuario está cifrado?

En otras palabras, ¿podría mi nombre de usuario ser detectado?

    
pregunta slick1537 03.04.2016 - 15:17
fuente

2 respuestas

5

Si estoy leyendo tu pregunta correctamente, te estás conectando a tu VPN utilizando una combinación de autenticación de cliente TLS y una combinación de nombre de usuario / contraseña.

En este caso, un atacante MitM puede leer el contenido completo del certificado del cliente ( enlace al mensaje relevante en el protocolo de protocolo de enlace ), que puede incluir su nombre de usuario. El atacante no puede leer la combinación de nombre de usuario y contraseña porque se envían una vez que se completa el protocolo de enlace TLS y, por lo tanto, se encriptan.

La mitigación es simple a nivel de protocolo: no realice una conexión mutuamente autenticada con el servidor, sino una autentificada unilateralmente y luego deje que el servidor inicie una renegociación con la autenticación del cliente. Esto es diferente, ya que la conexión se cifrará con la suite de cifrado desde la primera conexión y, por lo tanto, un atacante no podrá escuchar su certificado de cliente.

Si esta mitigación no es posible por el motivo que sea, puede intentar que los dos nombres de usuario sean únicos y distintos. Por ejemplo, podría asignar al usuario un nombre común completamente aleatorio en el certificado, que se verifica en la base de datos interna / lista de control de acceso para a) tener acceso permitido yb) coincidir con la contraseña legible / elegida por el hombre. De esta manera, un atacante no puede aprender el nombre de usuario necesario para el par de nombre de usuario / contraseña. Por lo que puedo decir, tal configuración es posible con OpenVPN.

    
respondido por el SEJPM 03.04.2016 - 15:37
fuente
1

Espero haber leído su pregunta correctamente, pero si se conecta a través de una VPN en el momento en que se crea el túnel, todos los datos entre el túnel VPN punto a punto se cifrarán. Esto incluye los paquetes que viajan desde su dispositivo a través de Wifi.

Estaría dispuesto a apostar a que si se requiere un nombre de usuario / contraseña para crear el túnel VPN, seguramente se pasará encriptado antes de que se cree el túnel, probablemente con https, que utiliza TLS / SSL.

Un atacante tendría que tener las claves para descifrar los datos como un rastreador normal que intenta ver su tráfico, solo vería lo que les parece un giberal.

A menos que el atacante pueda encontrar un exploit u obtener las claves, toda la información que se pase, incluido su nombre de usuario y contraseña, se cifrará.

    
respondido por el Jeff Meigs 03.04.2016 - 21:20
fuente

Lea otras preguntas en las etiquetas