it-swarm.com.de

Kann ein VPN-Anbieter meinen SSL-Verkehr mitM mitmischen, ohne dass ich es merke?

Wenn ich eine Verbindung zu Google Mail über ein VPN herstelle. Wie leitet der Anbieter den Datenverkehr weiter, ohne meine IP-Adresse offenzulegen, aber auch ohne das SSL zu beschädigen? Sollte Google Mail meine echte IP nicht kennen, wenn der Datenverkehr nur über den Anbieter getunnelt wird?

Ich habe über ungültige Zertifikate nachgedacht, wenn die SSL kaputt geht, aber wie behaupten Firewalls der nächsten Generation wie Palo Alto, dass sie eine Deep Packet Inspection für SSL-Verkehr durchführen können, ohne dass die Benutzer es bemerken? Warum kann der VPN-Anbieter eine ähnliche Box nicht einfach zum Entschlüsseln verwenden?

Ich bin etwas neugierig, wie viele Daten ein VPN-Anbieter möglicherweise über mich sammeln könnte. Ich hoffe du kannst mir hier helfen.

24

Wie leitet der Anbieter den Datenverkehr weiter, ohne meine IP offenzulegen, aber auch ohne das SSL zu beschädigen?.

SSL ist ein Schutz (wie Verschlüsselung) über TCP, der sich über IP befindet. Die zugrunde liegenden Schichten (TCP, IP) können geändert werden, ohne die transportierten Daten zu ändern. Dies bedeutet, dass die Verschlüsselung möglich ist beibehalten werden, obwohl sich Ihre IP-Adresse auf der Netzwerkebene ändert.

Dies ähnelt einer verschlüsselten Mail (d. H. PGP oder S/MIME). Es spielt keine Rolle, ob es über mehrere Mailserver transportiert, auf verschiedenen Computern usw. gespeichert wird - der verschlüsselte Teil der Mail selbst und sein innerer Inhalt werden nicht geändert.

... aber wie behaupten Firewalls der nächsten Generation wie Palo Alto, dass sie eine Deep Packet Inspection für SSL-Verkehr durchführen können, ohne dass die Benutzer dies bemerken?

Sie tun es nicht. Wenn der innere Inhalt von SSL-Verbindungen analysiert werden muss, führt das DPI-System einen Mann im mittleren "Angriff" aus, dh es ist der Endpunkt der SSL-Verbindung aus Sicht des Servers und entschlüsselt jeglichen Datenverkehr und verschlüsselt ihn erneut, um ihn darzustellen an den Client. Normalerweise führt dies zu einer Sicherheitswarnung für den Benutzer, da das neue Zertifikat für die Verbindung (vom DPI-System erstellt) nicht vertrauenswürdig ist. Dies kann jedoch für den Benutzer transparenter gemacht werden, wenn der Benutzer der DPI-Appliance ausdrücklich vertraut.

Einzelheiten hierzu finden Sie unter Wie funktioniert der SSL-Proxyserver im Unternehmen? , Deep Packet Inspection SSL: Wie DPI-Appliances Zertifikatswarnungen verhindern? oder Ist dies üblich? Praxis für Unternehmen zum MITM HTTPS-Verkehr? .

Warum kann der VPN-Anbieter eine ähnliche Box nicht einfach zum Entschlüsseln verwenden?

Es könnte dies tatsächlich tun.

Nur theoretisch müssten Benutzer dem VPN-Anbieter ausdrücklich vertrauen, um den SSL-Verkehr ähnlich wie in Unternehmen zu überprüfen. Wenn Sie jedoch beispielsweise die vom VPN-Anbieter bereitgestellte VPN-Software installieren, kann diese Software dem Computer des VPN-Anbieters für das Abfangen von SSL tatsächlich stillschweigend vertrauen, sodass Sie nicht erkennen, dass der Anbieter den verschlüsselten Datenverkehr abhören und sogar ändern kann. Diese unbeaufsichtigte Installation vertrauenswürdiger Zertifizierungsstellen ist genau das, was viele Antivirenprodukte tun, damit sie verschlüsselten Datenverkehr abhören und den Benutzer vor Angriffen schützen, die in verschlüsselten Verbindungen ausgeführt werden.

Theoretisch könnte man herausfinden, dass der Anbieter dies tut, indem man sich die Zertifikatskette für jede SSL-Verbindung ansieht und sie mit der erwarteten vergleicht. Oder Sie können sich die lokal vertrauenswürdigen Zertifizierungsstellen ansehen und feststellen, ob eine hinzugefügt wurde. Wenn Sie jedoch Software vom VPN-Anbieter installieren, kann der Anbieter auch Teile Ihres Systems wie den Browser ändern, um die Überprüfung vor Ihnen zu verbergen. Dies ist nicht auf Software beschränkt, die vom VPN-Anbieter bereitgestellt wird. Jede von Ihnen installierte Software kann solche Änderungen tatsächlich vornehmen.

Siehe auch Wie kann ich eine HTTPS-Inspektion erkennen? .

31
Steffen Ullrich

Die kurze Antwort lautet: Ihr VPN-Anbieter kann alles tun, was Ihr ISP tun kann, wenn Sie kein VPN verwenden.

Dies kann das Unterbrechen von TLS einschließen, wenn Ihr Browser einer Stammzertifizierungsstelle vertraut, die ein Zwischenzertifikat für mittlere Boxen ausgestellt hat. Sie verlagern das Vertrauen, dies nicht zu tun, von Ihrem ISP auf den VPN-Anbieter.

Bei den meisten dieser mittleren Boxen müssen die Benutzer eine neue Stammzertifizierungsstelle installieren. Sie sind davor geschützt, weil Sie wahrscheinlich kein Zertifikat von Ihrem VPN-Anbieter installiert haben. Es gab jedoch einige Appliances, die in der Vergangenheit gültige Browser-vertrauenswürdige Zwischenzertifikate hatten. Ich bin mir nicht sicher, ob es noch welche gibt.

10
allo

Kann ein VPN-Anbieter meinen SSL-Verkehr mitm Miten, ohne dass ich es merke?

Diesbezüglich können Sie Folgendes feststellen, es sei denn, sie verfügen über den privaten Schlüssel der Website. Wenn Sie dem Zertifikat des VPN-Anbieters in Ihren Browsern vertrauen, müssen Sie natürlich genauer prüfen, welches Zertifikat jeder Standort verwendet, aber Sie können feststellen, ob Sie darauf achten. Browsererweiterungen wie Certificate Patrol können hilfreich sein, wenn Sie die Websites mit und ohne VPN besuchen. Sie werden über Zertifikatänderungen informiert.

Sollte Google Mail meine echte IP nicht kennen, wenn der Datenverkehr nur über den Anbieter getunnelt wird?

Könnte sein; es hängt davon ab, ob. Die ursprüngliche IP-Adresse ist die des VPN-Anbieters. Wenn jedoch Google Mail oder eine andere Website Javascript oder die Skripte einer anderen Sprache an Ihren Browser sendet, die Ihr Browser akzeptiert und ausführt, um Ihre IP-Adresse (oder andere, noch privatere Informationen) zu erfassen, wird diese an die Organisation gesendet - oder an einen Dritten!

Wenn diese Übertragung über ungebrochenes TLS erfolgt, wurden Ihre Informationen nur an die Site weitergegeben, an die sie gesendet wurden, und an alle, mit denen diese Site sie freiwillig oder unfreiwillig teilt.

Wenn diese Übertragung unverschlüsselt war, kann sie auch jeder zwischen Ihnen und ihnen sehen.

Wenn diese Übertragung mit fehlerhafter Verschlüsselung verschlüsselt wurde, ist sie sehr komplex, liegt jedoch irgendwo zwischen den beiden oben genannten Extremen.

Ich habe über ungültige Zertifikate nachgedacht, wenn die SSL kaputt geht, aber wie behaupten Firewalls der nächsten Generation wie Palo Alto, dass sie eine Deep Packet Inspection für SSL-Verkehr durchführen können, ohne dass die Benutzer es bemerken?

Sie tun dies, weil sie eine Kopie des gleichen privaten Schlüssels für das Zertifikat haben, das der Webserver selbst verwendet! So wie der Webserver den TLS-Verkehr mit seinem privaten Schlüssel entschlüsselt, entschlüsselt die Appliance ihre Kopie des Verkehrs mit dem privaten Schlüssel des Webservers.

Warum kann der VPN-Anbieter eine ähnliche Box nicht einfach zum Entschlüsseln verwenden?

Das VPN-Unternehmen, das über eine Kopie des privaten TLS-Schlüssels der Endwebsite verfügt, wäre ein äußerst außergewöhnlicher Umstand, an dem große nationalstaatliche Akteure, außergewöhnliche kriminelle Aktivitäten und/oder die Blutung kritischer Zero-Day-Exploits wie Heartbleed beteiligt sind.

Ich bin etwas neugierig, wie viele Daten ein VPN-Anbieter möglicherweise über mich sammeln könnte.

Zumindest so viel, wie du denkst, dass du es ihnen erlaubst.

Senden Sie Ihre DNS-Anfragen über das VPN? Sie können das sehen. Wenn nicht, kann Ihr ISP es sehen.

Erlauben Sie HTTP-Verkehr? Sie können das sehen - und während des Transports ändern. Achtung, dazu gehört auch der Datenverkehr von Drittanbietern.

Sie können definitiv sehen, zu welchen IP-Adressen Sie gehen und welche Datenmuster Sie verschieben. Sie können dies dann mit einer statistisch signifikanten Analyse des Verkehrs vieler Menschen sowie mit absichtlichen Tests und öffentlichen Informationen, die sie sammeln, vergleichen.

  • d.h. Sie senden einige zu große Seitenanforderungspakete an https://security.stackexchange.com ? Sie senden etwas, das Sie eingegeben haben, an das Stackexchange-Netzwerk von Websites. Eine einfache Korrelation dieser großen Übertragungen mit neuen Fragen und Antworten zeigt sehr schnell Ihren Stackexchange-Benutzernamen.

Erlauben Sie defekte Verschlüsselungsalgorithmen? Sie können das sehen oder auch nicht.

Sie haben sicherlich keinen Einblick in das, was sie protokollieren, unabhängig davon, was sie beanspruchen (oder sind gezwungen, dies zu beanspruchen, abhängig von den Regierungen, die die Kontrolle über jeden an Ihrem Datenverkehr beteiligten Server und das Management dieses Unternehmens und der darin enthaltenen Personen haben - wenn Sie Der VPN-Endpunkt oder die Unternehmensverwaltung oder die mehrfach unter Vertrag genommenen Serveradministratoren befinden sich in RepressiveRegimeX. RepressiveRegimeX hat eine große Macht darüber.

Versuchen Sie zumindest für eine Weile Firefox mit dem Matrix-Plugin (um Ihnen die Zuordnungen zu zeigen, welche Anfragen von Drittanbietern von den von Ihnen besuchten Websites gestellt werden) und mit HTTPS Everywhere = um die Verwendung von HTTP einzuschränken.

Gehen Sie auch in Firefox zu about: config, suchen Sie in tls nach den zulässigen TLS-Versionen und suchen Sie in ssl3 nach den aktivierten Cipher Suites.

Gehen Sie in jedem von Ihnen verwendeten Browser zu SSLLabs und führen Sie einen Client-Test durch, um festzustellen, welche Schwachstellen dieser Browser auf diesem Computer zulässt. entfernen Sie diese.

Verwenden Sie als erweiterte Option wireshark oder ein anderes Tool, um zu sehen, was tatsächlich über Ihr VPN läuft und was nicht. Möglicherweise können Sie sehen, ob eine tatsächliche TLS-Verbindung hergestellt wird, oder nicht, sodass Sie sehen können, welche Verschlüsselungssuite oder welcher Algorithmus ausgehandelt wurde.

  • Achten Sie besonders darauf, wohin Ihre DNS-Anforderungen, UDP-Port 53, gehen. Über Ihren VPN-Anbieter oder nicht?
4

Unzufrieden mit den vorhandenen Antworten, weil es - unter normalen Umständen - einfach Nein ist.

Ein VPN ist nur Ihre Verbindung. Sie können versuchen, SSL zu blockieren oder zu entfernen. Wenn Sie jedoch eine SSL-Verbindung zu einer anderen Site herstellen und eine vertrauenswürdige, nicht beeinträchtigte Zertifikatskette verwenden, werden die Daten zu und von Ihrem Browser von Ihrem VPN-Anbieter verschlüsselt.

Sie können [ungefähr] sehen, wo Sie sich verbinden. Sie sehen die IP-Adressen und Ports. Der gesamte Inhalt über TLS (einschließlich Hostanforderungen in HTTP) wird von diesen weg verschlüsselt. Der VPN-Anbieter kann möglicherweise auch sehen, welche DNS-Anforderungen Ihr Browser stellt. Dies zeigt jedoch weniger an, was Sie tun , da Browser ausgelöst werden Millionen davon beim Stöbern. Sie können separat verschlüsseltes DNS erhalten, wenn dies ein Problem ist.

Die Firewalls von Palo Alto werden entfernt und zurückgetreten. Für einen Benutzer ist dies jedoch nur dann legitim, wenn er (oder sein Unternehmenscomputeranbieter) installiert hat Stammzertifikate von Palo Alto. Dies ist sehr weit von einem Standard-Setup entfernt.

SSL und TLS kümmern sich nicht um IP-Adressen. Google Mail muss Ihre tatsächliche IP-Adresse nicht kennen, um zu funktionieren, obwohl sie und andere Dienste möglicherweise interkontinentale Hops (häufiger bei Tor) als verdächtiges Verhalten kennzeichnen und Sie dazu bringen, zu überprüfen, ob Sie es häufiger sind.

3
Oli

Wenn sie den privaten Schlüssel einer Stammzertifizierungsstelle haben, der Ihr Browser vertraut, und ja, können Sie dies wahrscheinlich erkennen, wenn Sie das Anheften von Zertifikaten verwenden, d. H. Vertrauen Sie der Zertifizierungsstelle nicht, sondern speichern Sie Zertifikate für jeden Standort, zu dem Sie eine Verbindung herstellen.

Die MITM-Situation hier wird nur durch die Verwendung des VPN kompliziert. Das VPN verschlüsselt den Datenverkehr zum VPN-Anbieter. Von da an ist der Verkehr genau so, wie er von einem ISP wäre, aber in diesem Fall ist Ihr ISP der Ort, an dem sich Ihr VPN befindet. Ihr VPN-Anbieter verfügt also über alle Informationen, die Ihr ISP erhalten könnte.

0
user168387