É seguro se registrar em uma página HTTP quando estou usando VPN?

5

Eu apenas me registro (faço uma conta / login) em HTTPS páginas da web. No entanto, uma página da Web que eu queria registrar agora não usa HTTPS. Gostaria de saber se estou conectado à VPN da minha empresa. É seguro registrar-se em uma página da Web que use apenas HTTP ?

    
por whiteSkar 11.06.2015 / 09:03

4 respostas

20

A VPN da sua empresa NÃO criptografará dados do seu computador para o site que você deseja registrar, somente os dados do seu computador para o servidor VPN da sua empresa.

O HTTPS (se usado corretamente) garante que os dados da sua máquina para o site sejam seguros e que você não seja vítima de um man-in-the-middle .

É seguro? "Talvez" (mas não tem nada a ver com a sua VPN), você sempre pode obter as informações de sua conta / senha roubadas no caminho do seu servidor VPN para o site.

    
por 11.06.2015 / 09:16
7

Acho que você está preocupado com os detalhes inseridos na página que está sendo enviada sem criptografia.

A VPN da empresa protegerá a conexão entre você e o servidor VPN. O servidor VPN ainda terá que abrir uma conexão não criptografada entre ele e a página / servidor HTTP, em vez de o computador abrir a própria conexão.

Talvez seja um pouco mais seguro, já que uma conexão corporativa com a Internet é protegida melhor do que a de um consumidor, mas suas informações ainda são enviadas sem criptografia e ainda estão sujeitas a man-in-the-middle'ing .

    
por 11.06.2015 / 09:19
3

Vendo que meus comentários sobre outras respostas estão ficando muito longos, concluí que eu os separaria:

É impossível responder se uma conexão VPN corporativa oferece segurança equivalente à SSL para um servidor da Web sem conhecer as especificidades exatas da conexão em questão, que o OP não especificou.

No entanto, como referência geral, há dois cenários principais para analisar:

1) SE um usuário estiver usando uma conexão VPN com uma rede corporativa para se conectar a sites públicos não criptografados fora da rede corporativa , a segurança oferecida será equivalente para acessar diretamente o mesmo site não criptografado da rede corporativa.

Ele impedirá a interceptação de comunicações entre o dispositivo e a rede corporativa, mas não protegerá contra interceptação entre a rede corporativa e o servidor da Web público. A segurança depende de quanto você confia na conexão da sua rede corporativa com o servidor público.

Em qualquer caso, será menos seguro que uma conexão HTTPS configurada diretamente para o servidor público do seu dispositivo cliente.

No entanto, esse mecanismo protegerá contra interceptação em sua conexão local se, por exemplo, você estiver usando um ponto de acesso público não criptografado ou outro ISP não confiável.

2) SE um usuário estiver usando uma conexão VPN com uma rede corporativa para se conectar a recursos não criptografados na rede corporativa atrás do servidor VPN, ou Próprio servidor VPN, protegendo a conexão até a própria rede de destino.

Isso oferece proteção equivalente a HTTPS para o servidor da Web em questão.

A resposta do ysdx ilustra bem o primeiro ponto, exceto que ele perde tudo depois do servidor HTTP.

Uma conexão HTTPS totalmente criptografada com um servidor da Web não garante uma segurança totalmente segura para a origem da página da Web, como no caso de uma VPN corporativa no cenário 2.

O HTTPS fornece uma garantia de segurança entre dois pontos de extremidade TCP. A VPN fornece uma garantia de segurança entre dois pontos de extremidade TCP. Em ambos os casos, os terminais são o seu PC e um servidor na borda da rede corporativa / interna do outro servidor. O que acontece depois que essa borda NÃO é protegida por nenhum dos métodos.

Muitas pessoas esquecem que o servidor Web HTTPS ao qual você se conecta durante uma sessão HTTPS é, no caso de muitos sites grandes, NÃO o servidor da página da Web que você está visualizando. As muitas razões pelas quais isso acontece incluem:

1) Balanceadores de carga, que geralmente têm conexão de rede não criptografada por meio de uma LAN corporativa para vários servidores de conteúdo que realmente veiculam o conteúdo na página da Web.

2) Proxies reversos, NATs e assim por diante, que encaminham sua conexão - novamente, sem criptografia, para servidores arbitrários na LAN corporativa ou até mesmo em outros sites públicos.

3) Servidores de cache ou serviços de proteção contra DDoS, como CloudFlare, alguns dos quais operam na internet pública, mas encaminham sua conexão para um servidor de outra empresa para veicular o conteúdo - geralmente por meio de uma segunda conexão criptografada ou VPN.

4) Bancos de dados ou back-ends NAS / SAN, nos quais o servidor da Web usa uma conexão não criptografada com outro servidor através do LNA corporativo para recuperar o conteúdo do site.

Em todos esses casos, a segurança da sua sessão na Web depende da segurança da LAN corporativa por trás do "gateway" HTTPS, exatamente da mesma maneira que se conecta a um servidor corporativo por trás de uma VPN corporativa. / strong>

    
por 12.06.2015 / 14:30
1

Não, o uso de uma VPN não protege o tráfego da VPN. Ao sair do túnel VPN (entre o servidor VPN e o servidor HTTP), o tráfego não é (em geral) criptografado:

                 Unencrypted HTTP here
                          |
                          v
[ HTTP    ]<--------------->[ HTTP ]
[ TCP     ]<--------------->[ TCP  ]
[ IP      ]<->[ IP      ]<->[ IP   ]
[ OpenVPN ]<->[ OpenVPN ]
[ TCP     ]<->[ TCP     ]
[ IP      ]<->[ IP      ]
 Client       VPN server    HTTP server

Portanto, é apenas seguro, se você assumir que o caminho entre o servidor VPN e o servidor HTTP é "seguro" por algum motivo (é o mesmo host, ele usa uma VPN ...).

    
por 12.06.2015 / 10:37

Tags