it-swarm.com.de

Sicher, eine VPN-Verbindung über Coffeeshop WIFI herzustellen?

Auf meinem Arbeitslaptop erstelle ich regelmäßig eine VPN-Verbindung, die ich zum Remotedesktop zu unserem Webserver verwende. Ist dies in einem Café sicher, in dem zufällige Personen mit demselben WLAN-Netzwerk verbunden sind?

25
Abe Miessler

Ja, eine VPN-Verbindung verschlüsselt die Verbindung zwischen Ihrem Computer und dem Remote-VPN-Host. Die Verbindung würde für jeden, der den Verkehr schnüffelt, entweder im Café oder im Internet, wie Kauderwelsch aussehen. Beachten Sie, dass dies auch für Inhalte gilt, die über HTTPS gesendet werden, auch wenn Sie kein VPN verwenden.

Beachten Sie auch, dass bei Verwendung der aktuellen Version von Microsoft Terminal Services (dh Remotedesktop) die VPN-Verbindung (aus Sicherheitsgründen) nicht unbedingt erforderlich ist, da die Remotedesktopverbindung selbst ebenfalls verschlüsselt ist. Beachten Sie, dass diese Einstellung optional durch die administrative Konfiguration im Netzwerk reduziert werden kann, sodass das VPN immer noch keine schlechte Idee ist.

23
AJ Henderson

Wie bereits gesagt, ist es "sicher", VPN in einem öffentlichen drahtlosen Netzwerk zu verwenden. VPN verwendet Zertifikate, um einen verschlüsselten Datenstrom zwischen Ihrem Computer und dem VPN-Server herzustellen. Sie können ein Tool wie Wireshark verwenden, um dies zu überprüfen. Ich denke jedoch, dass zumindest theoretisch eine gewisse Unsicherheit besteht. Jemand KANN einen gefälschten Zugangspunkt mit derselben SSID wie der echte Zugangspunkt erstellen und einen Man-in-the-Middle-Angriff ausführen - für SSL VPN sowieso. Sie müssten ein stärkeres Signal vom gefälschten AP erhalten, damit Ihr Computer dieses Signal auch dem echten vorziehen kann.

Weitere Informationen finden Sie unter folgendem Link: Abschwächen von SSLStrip-Angriffsmethoden auf dem Secure Access SSL VPN

8
user5065

In Bezug auf die Antwort von @AJ Henderson, wonach VPNs für die "aktuelle Version der Terminaldienste" möglicherweise nicht erforderlich sind, sollten Sie wissen, dass eine AD-Einstellung innerhalb der Gruppenrichtlinie die Sicherheit schwächen und Wifi-Szenarien erstellen kann, selbst wenn der Client "der neueste" ist unsicher. Dies geschieht häufig als Kompromiss, um eine breitere Funktionalität zu ermöglichen.

4

Dies hängt wirklich von der Art des verwendeten VPN ab. Es müsste auf beiden Seiten richtig konfiguriert werden (Client und Server, wenn diese Terminologie anwendbar ist).

  • Einige PPTP - Server bieten standardmäßig keine Verschlüsselung. Außerdem müssten Sie sicherstellen, dass Sie die entsprechende Form der Authentifizierung verwenden (siehe diese Empfehlung zum Beispiel).

  • OpenVPN und IPsec verwenden (in einigen Fällen) X.509-Zertifikate, um den Server (zumindest) zu authentifizieren. Dies würde teilweise unter den gleichen PKI-Problemen leiden, die HTTPS betreffen.

    Sie müssen sicherstellen, dass Sie das Zertifikat der Gegenstelle beim Herstellen der Verbindung korrekt überprüfen (wie immer bei Zertifikaten). Insbesondere muss überprüft werden, ob das Zertifikat vertrauenswürdig ist und ob sein Name mit dem übereinstimmt, wonach Sie suchen. Richtige Implementierungen sollten diese Überprüfungen durchführen.

    Möglicherweise stoßen Sie auch auf das Problem der betrügerischen/kompromittierten Zertifizierungsstelle, aber ich würde denken (hoffe), dass dies eher selten ist. Grenzen Sie im Zweifelsfall die Liste der vertrauenswürdigen Zertifizierungsstellen auf Ihrem Computer ein, wenn Sie können.

  • IPSec mit einem gemeinsamen Geheimnis. Diese können in Ordnung sein, solange das gemeinsame Geheimnis geheimer als geteilt ist. Die Kenntnis dieses gemeinsamen Geheimnisses kann es einem MITM ermöglichen, sich als Server auszugeben (die Links auf dieser Seite sollten ebenfalls von Interesse sein).

    Je größer die Organisation ist, desto schwieriger scheint es, dieses gemeinsame Geheimnis ausreichend geheim zu halten. Eine schnelle Suche nach VPN-Anweisungen für verschiedene Universitäten scheint darauf hinzudeuten, dass einige dieser Geheimnisse tatsächlich veröffentlicht werden.

    Trotz der PKI-Probleme würde eine zertifikatbasierte Lösung es schwieriger machen, sich als Server auszugeben, da der übereinstimmende private Schlüssel des Zertifikats für keinen Benutzer freigegeben würde.

Ja, ein VPN kann Sie in einem nicht vertrauenswürdigen Netzwerk schützen (zumindest im Umfang des Remote-VPN-Netzwerks), aber wie alles muss es entsprechend konfiguriert werden.

3
Bruno

VPN entspricht Ihren Anforderungen, solange die folgenden Voraussetzungen erfüllt sind:

  • Der VPN-Eintrittsknoten wird von Ihnen beispielsweise mit einem aktualisierten Zertifikat authentifiziert
  • Das Zertifikat ist sicher (es gibt Probleme mit Zertifikaten, nämlich das MD5-Zeichen von Zertifikaten wurde als schwach erwiesen).
  • Der Authentifizierungsmechanismus des VPN ist sicher (es wurden einige Probleme mit einigen Authentifizierungsmechanismen gemeldet, nämlich MS-CHAP v2).
  • Der Kanalverschlüsselungsmechanismus ist sicher (mir sind keine bekannten Mängel bekannt).
1
user823959

Dies hängt davon ab, wie Ihr VPN eingerichtet ist. Wenn Ihr Client die Serveridentität überprüft, z. B. mithilfe von Zertifikaten, dann ja. Wenn dies nicht der Fall ist, können Sie weiterhin MITM-ed sein.

0
Vitaly Osipov

1. Risiko: Betriebssystem

Der erste Punkt, der von der Sicherheit Ihrer vorgeschlagenen Lösung abhängt, ist die Sicherheit Ihres Betriebssystems, das der Ausgangspunkt Ihres VPN ist.

Zu viele Administratoren neigen dazu zu vergessen, dass die Verwendung eines VPN, um sein Unternehmensnetzwerk von einem schwachen Betriebssystem aus zu erreichen, vor allem ein Sicherheitsrisiko darstellt, und ein großes Risiko, da eine eingehende VPN-Verbindung normalerweise als vertrauenswürdig eingestuft wird (bei der Unternehmensfirewall unter die Firma IPS, überall).

Hier ist ein allgemeines Realitätsszenario: Ihr Computer wird von einem Keylogger gehostet. (Real Experience Return: Die übliche Zahl liegt über 1. Endbenutzerkontrolle mit einer VPN-Lösung: Die übliche Zahl liegt unter 1).

2. Risiko: Verkehr neben dem Tunnel

Ein korrekt konfiguriertes VPN sollte die Sichtbarkeit des Internets durch unverschlüsselten Verkehr (d. H. Normale IP) blockieren. Alles sollte durch esp (50) ah (51 jetzt meistens nicht mehr verwendet) oder 443/tcp/IP Aka https gehen.

Realitätsszenario: Ihre VPN-Konfiguration ist aktiv, aber der Datenverkehr über die drahtlose Verbindung bedide Der Tunnel ist offen und wird vom System nicht gesteuert, und der Administrator ist nicht netzwerkfähig genug, um ihn zuerst zu sehen.

Ich denke, Sie geben nicht jedes Mal tcpdump -i en1 Ein, wenn Sie ein VPN auf einer Schnittstelle mit dem Namen en1 Starten, um zu überprüfen, ob 53/udp/IP, 67/udp/IP… Neben dem immer noch überfluten Tunneleintritt :) und nicht nur 500/udp/IP.

Ich denke, Sie überprüfen nicht mit arp -a, Ob in der Wi-Fi-Umgebung bereits ein Nachbar mit Ihrem PC verbunden ist.

3. Risiko: magisch akzeptierte Zertifikate

Unter den meisten Betriebssystemen vertrauen Benutzer, sogar Administratoren und sogar sicherheitsbewusste Administratoren, der automatischen Funktion, ein Remote-Zertifikat zu akzeptieren. Diese Funktion ist in Browsern und manchmal im Betriebssystem selbst verborgen. Ein Vertrauen, das Sie nicht verifizieren, ist Magie. Es ist ein Risiko.

Wenn diese Magie impliziert, dass Sie zuerst Internet Explorer Starten müssen, um Ihr VPN zu erstellen, ist dies ein Leben voller Nachforschungen und Horror wert.

Wenn Sie über ein VPN, das auf einer https -Verbindung aufgebaut ist, eine Verbindung mit Ihrem Unternehmen herstellen, sollte Ihr Unternehmen Sie zwingen, das Zertifikat Ihres Unternehmens zu überprüfen, um sicherzustellen, dass Sie kein Zertifikat verwenden, das von einem gefälschten Webserver in Ihrem Wi präsentiert wird -Fi Nachbarschaft. Sie sollten den Fingerabdruck des Zertifikats Ihres Unternehmens auf einem unabhängigen Dokument haben, das Sie in jeder Situation überprüfen können. Diese Verbindung sollte nicht auf magic trust aufgebaut werden.

0
dan