VPN - Man-in-the-middle quando se conecta a um serviço https?

Navegue suas respostas
3

Escolhendo um serviço VPN de prateleira, é seguro acessar minhas contas do Gmail, Paypal, ...?

As contas são acessadas via https, mas não sei se com uma VPN há um canal seguro entre meu computador e o servidor https, ou dois, ou seja, eu [< - > [servidor vpn] < - > [servidor https]

Se for o último caso, o administrador da VPN poderá ver o tráfego não criptografado entre mim e o servidor https?

    
por Majid Fouladpour 18.12.2010 / 22:25

4 respostas

2

As conexões HTTPs só podem realmente ser feitas de forma válida entre o cliente e o servidor https.

Se o administrador da VPN puder descriptografar o tráfego, eles precisarão ter um certificado SSL válido que se proponha ser do domínio do servidor, com uma chave privada válida para o certificado. Isso não deve ser possível, desde que as autoridades de certificação raiz ativadas em seu navegador estejam seguras. Para ter certeza disso, mantenha seu navegador atualizado.

Se um man-in-the-middle fizesse o último método mencionado sem isso, seu navegador reclamaria de um certificado inválido.

    
por 18.12.2010 / 22:39
1

Ao usar HTTPs / TLS / SSL, o tráfego do site é criptografado entre o navegador (ou o aplicativo que inicia a conexão) e o servidor da Web que está veiculando páginas para você. Isso significa que, se qualquer intermediário tentar "ouvir" suas solicitações / respostas, tudo o que ele verá será tráfego criptografado.

Este modelo de criptografia é o mesmo, independentemente de você estar usando uma VPN ou uma conexão padrão com a Internet.

    
por 18.12.2010 / 22:37
0

A única opção segura seria usar uma VPN real. Um dos melhores que funciona em todos os sistemas operacionais é o OpenVPN. Eu tenho usado o Road Warrior VPN como meu provedor de VPN nos últimos dois anos. A razão pela qual eu digo para usar uma VPN real como o OpenVPN é porque não é possível que alguém faça um ataque Man-in-the-middle em você.

    
por 21.12.2010 / 01:01
0

Como os outros disseram, isso geralmente será seguro. Mas eu vou jogar isso apenas por completo, como ninguém mencionou isso.

Se o serviço vpn em questão também exigir um proxy, é possível que o proxy use um certificado SSL confiável para se inserir no meio dessa comunicação. Mas isso exigiria que seu computador confiasse na autoridade de certificação do proxy (autoridade de certificação). Isso exigiria que você instalasse o certificado CA do Proxy do serviço de VPN em seu navegador. Isso também pode ser feito usando uma diretiva de grupo em um domínio do Windows. Portanto, supondo que você esteja falando sobre um serviço de terceiros, a configuração não envolve uma etapa de confiar em uma autoridade de certificação no seu navegador ou no chaveiro de autoridade de certificação do seu sistema operacional, então seu tráfego estará seguro. Tenha em mente que existem algumas razões legítimas para fazer isso, já que isso geralmente é feito para que o fluxo de dados possa ser verificado pelos mecanismos de prevenção contra intrusões e antivírus / malware.

Mas a solicitação https em tal situação seria assim. 

[me]<->[vpn server]<---->[proxy]<-->[website]   
                     |            |  
      proxy spoofed ssl cert   website ssl cert

Assim, tudo entre [eu] e [proxy] é protegido usando um certificado falsificado assinado pela CA confiável do proxy e tudo entre o [proxy] e o site está usando o certificado do site original. Portanto, há uma oportunidade nesse caso para acessar os dados no proxy não criptografados.

    
por 21.12.2010 / 01:57

Tags

O usuário do Linux inicia no diretório errado? Apache HTTPD: Permitir usuários em htpasswd OU LDAP com grupo específico