Un fournisseur VPN peut-il réduire mon trafic SSL sans que je m'en rende compte?
Si je me connecte à, disons gmail sur un VPN. Comment le fournisseur transfère-t-il le trafic sans exposer mon IP, mais aussi sans casser le SSL. Gmail ne devrait-il pas connaître ma véritable IP si le trafic est simplement tunnelé via le fournisseur?
J'ai pensé à des certificats invalides si le SSL est cassé, mais comment les pare-feu de nouvelle génération comme Palo Alto prétendent-ils pouvoir inspecter en profondeur les paquets sur le trafic SSL sans que les utilisateurs ne s'en rendent compte? Pourquoi le fournisseur VPN ne peut-il pas simplement utiliser une boîte similaire pour le déchiffrer?
Je suis un peu curieux de savoir combien de données un fournisseur VPN pourrait potentiellement collecter à mon sujet. J'espère que vous pourrez m'aider ici.
Comment le fournisseur transfère-t-il le trafic sans exposer mon IP, mais aussi sans casser le SSL.
SSL est une protection (comme le cryptage) au-dessus de TCP qui se trouve au-dessus d'IP. Les couches sous-jacentes (TCP, IP) peuvent être modifiées sans changer les données transportées. Cela signifie que le cryptage peut être conservé même si votre adresse IP au niveau de la couche réseau change.
Cela revient à avoir un courrier chiffré (c'est-à-dire PGP ou S/MIME). Peu importe qu'il soit transporté via plusieurs serveurs de messagerie, stocké sur différentes machines, etc. - la partie chiffrée du courrier lui-même et son contenu interne ne seront pas modifiés.
... mais comment les pare-feu de nouvelle génération comme palo alto prétendent-ils pouvoir effectuer une inspection approfondie des paquets sur le trafic SSL sans que les utilisateurs ne s'en rendent compte?
Ils ne le font pas. Si le contenu interne des connexions SSL doit être analysé, le système DPI fait un homme au milieu "attaque", c'est-à-dire qu'il est le point final de la connexion SSL du point de vue du serveur et déchiffre tout trafic et le chiffre à nouveau pour le présenter au client. Habituellement, cela entraînera un avertissement de sécurité pour l'utilisateur car le nouveau certificat pour la connexion (créé par le système DPI) n'est pas approuvé. Mais cela peut être rendu plus transparent pour l'utilisateur s'il fait explicitement confiance à l'appliance DPI.
Pour plus de détails, voir Comment fonctionne le serveur proxy SSL dans l'entreprise? , Deep Packet Inspection SSL: comment les appliances DPI empêchent les avertissements de certificats? ou Est-ce courant pratique pour les entreprises au trafic MITM HTTPS? .
Pourquoi le fournisseur VPN ne peut-il pas simplement utiliser une boîte similaire pour le déchiffrer?
Cela pourrait en fait le faire.
Seulement, en théorie, les utilisateurs devraient faire explicitement confiance au fournisseur VPN pour inspecter le trafic SSL similaire à ce qui est fait dans les entreprises. Mais, si vous installez par exemple le logiciel VPN fourni par le fournisseur VPN, ce logiciel pourrait en fait faire confiance silencieusement à l'ordinateur du fournisseur VPN pour l'interception SSL afin que vous ne réalisiez pas que le fournisseur peut renifler et même modifier le trafic crypté. Cette installation silencieuse d'autorités de certification fiables est en fait ce que font de nombreux produits antivirus, afin qu'ils reniflent le trafic crypté et protègent l'utilisateur contre les attaques livrées à l'intérieur de connexions cryptées.
On pourrait en théorie découvrir que le fournisseur le fait en regardant la chaîne de certificats pour chaque connexion SSL et en la comparant à celle attendue. Ou on peut regarder les autorités de certification approuvées localement et voir s'il y en a une ajoutée. Pourtant, si vous installez un logiciel du fournisseur VPN, le fournisseur peut également changer des parties de votre système comme le navigateur afin de vous cacher l'inspection. Et cela n'est pas limité aux logiciels fournis par le fournisseur VPN - tout logiciel que vous installez pourrait réellement apporter de telles modifications.
Voir aussi Comment puis-je détecter l'inspection HTTPS? .
La réponse courte est: votre fournisseur VPN peut faire tout ce que votre FAI peut faire si vous n'utilisez pas de VPN.
Cela peut inclure la rupture du TLS, si votre navigateur fait confiance à une autorité de certification racine, qui a émis un certificat intermédiaire pour les boîtes du milieu. Vous déplacez la confiance de ne pas le faire de votre FAI vers le fournisseur VPN.
La plupart de ces boîtes centrales nécessitent que les utilisateurs installent une nouvelle autorité de certification racine. Vous êtes protégé contre cela, car vous n'avez probablement pas installé de certificat de votre fournisseur VPN. Mais il y avait quelques appareils qui avaient des certificats intermédiaires valides approuvés par navigateur dans le passé. Je ne sais pas s'il en reste.
Un fournisseur VPN peut-il réduire mon trafic SSL sans que je m'en rende compte?
En ce qui concerne spécifiquement cela, à moins qu'ils aient la clé privée du site Web, vous pouvez le remarquer. Si vous faites confiance au certificat du fournisseur VPN dans votre (vos) navigateur (s), alors vous devez activement chercher plus attentivement à quel certificat chaque site utilise, bien sûr, mais vous POUVEZ remarquer si vous faites attention. Les extensions de navigateur comme Certificate Patrol peuvent vous aider si vous visitez les sites avec et sans votre VPN; ils vous informeront des modifications de certificat.
Gmail ne devrait-il pas connaître ma véritable IP si le trafic est simplement tunnelé via le fournisseur?
Peut être; ça dépend. L'adresse IP d'origine est celle du fournisseur VPN; cependant, si gmail ou un autre site Web envoie du Javascript ou des scripts d'une autre langue à votre navigateur que votre navigateur accepte et exécute qui collecte votre adresse IP (ou d'autres informations encore plus privées), puis envoie cela à l'organisation - ou à un tiers!
Si cette transmission se fait via TLS ininterrompu, vos informations n'ont été communiquées qu'au site auquel elles ont été envoyées et à tous ceux avec qui ce site les partage volontairement ou non.
Si cette transmission n'était pas cryptée, tout le monde entre vous et eux peut également la voir.
Si cette transmission a été chiffrée avec un chiffrement cassé, c'est très complexe, mais se situe quelque part entre les deux extrêmes ci-dessus.
J'ai pensé à des certificats invalides si le SSL est cassé, mais comment les pare-feu de nouvelle génération comme Palo Alto prétendent-ils pouvoir inspecter en profondeur les paquets sur le trafic SSL sans que les utilisateurs ne s'en rendent compte?
Ils le font car ils ont une copie de la même clé privée pour le certificat que le serveur Web lui-même utilise! Tout comme le serveur Web déchiffre le trafic TLS avec sa clé privée, l'appliance déchiffre sa copie du trafic avec la clé privée du serveur Web.
Pourquoi le fournisseur VPN ne peut-il pas simplement utiliser une boîte similaire pour le déchiffrer?
La société VPN possédant une copie de la clé privée TLS du site Web final serait une circonstance très exceptionnelle impliquant des acteurs majeurs de l'État-nation, une activité criminelle exceptionnelle et/ou le bord saignant d'exploits critiques de zéro jour comme Heartbleed.
Je suis un peu curieux de savoir combien de données un fournisseur VPN pourrait potentiellement collecter à mon sujet.
Au moins autant que vous pensez que vous leur permettez.
Envoyez-vous vos demandes DNS via le VPN? Ils peuvent le voir. Sinon, votre FAI peut le voir.
Autorisez-vous le trafic HTTP? Ils peuvent voir - et modifier en transit - cela. Attention, cela inclut le trafic tiers.
Ils peuvent certainement voir quelles adresses IP vous allez consulter et les modèles de données que vous déplacez. Ils peuvent ensuite comparer cela à une analyse statistiquement significative de beaucoup de trafic de personnes ainsi qu'à des tests délibérés et à des informations publiques qu'ils collectent.
- c'est-à-dire que vous envoyez des paquets trop volumineux pour être de simples demandes de page à https://security.stackexchange.com ? Vous soumettez quelque chose que vous avez tapé au réseau de sites Stackexchange; une simple corrélation de ces grosses transmissions avec de nouvelles questions et réponses révélera très rapidement votre nom d'utilisateur stackexchange.
Autorisez-vous des algorithmes de chiffrement défectueux? Ils peuvent ou non voir cela.
Vous n'avez certainement aucune idée de ce qu'ils enregistrent, indépendamment de ce qu'ils prétendent (ou sont obligés de réclamer en fonction des gouvernements qui contrôlent chaque serveur impliqué dans votre trafic et de la gestion de cette entreprise et des personnes qui s'y trouvent - si votre Le point de terminaison VPN, ou la gestion d'entreprise, ou les administrateurs de serveurs sous-traités multipliés est/sont dans RepressiveRegimeX, RepressiveRegimeX a beaucoup de pouvoir sur cela.
Essayez, au moins pendant un certain temps, Firefox avec le plugin uMatrix (pour vous montrer les correspondances des demandes de tiers effectuées par les sites que vous visitez), et avec HTTPS Everywhere = pour limiter l'utilisation de HTTP.
Toujours dans Firefox, allez sur about: config, recherchez sur tls pour voir les versions TLS autorisées, et recherchez sur ssl3 pour voir quelles suites de chiffrement sont activées.
Sur chaque navigateur que vous utilisez, accédez à SSLLabs et effectuez un test client pour voir ce qui peut être faible que ce navigateur autorise sur cette machine; supprimez-les.
En tant qu'option avancée, utilisez cableshark ou un autre outil pour voir ce qui se passe réellement sur votre VPN, et ce qui ne l'est pas. Vous pouvez - ou non - être en mesure de voir une connexion TLS réelle établie, vous pouvez donc voir la suite de chiffrement ou le choix d'algorithme négocié.
- Portez une attention particulière à la destination de vos requêtes DNS, le port UDP 53. Via votre fournisseur VPN, ou non?
Mécontent des réponses existantes parce que - dans des circonstances normales - c'est simplement Non.
Un VPN n'est que votre connexion. Ils peuvent tenter de bloquer ou de supprimer SSL, mais si vous établissez une connexion SSL avec un autre site, en utilisant une chaîne de certificats fiable et sans interférence, les données vers et depuis votre navigateur sont cryptées à partir de votre fournisseur VPN.
Ils peuvent voir [approximativement] où vous vous connectez. Ils voient les adresses IP et les ports. Tout le contenu via TLS (y compris les demandes d'hôte en HTTP) est chiffré loin d'eux. Le fournisseur VPN peut également voir quelles demandes DNS votre navigateur fait, bien que cela indique moins ce que vous faites car les navigateurs se déclenchent des millions de ceux-ci que vous parcourez. Vous pouvez obtenir un DNS chiffré séparément s'il s'agit d'un problème.
Les pare-feu de Palo Alto seront supprimés et démissionnaires, mais la seule façon dont cela semblera légitime à un utilisateur est s'ils ont (ou leur fournisseur informatique d'entreprise) installé Certificats racine de Palo Alto. C'est très loin d'une configuration standard.
SSL et TLS ne se soucient pas des adresses IP. Gmail n'a pas besoin de connaître votre véritable adresse IP pour fonctionner, bien qu'eux-mêmes et d'autres services puissent signaler les sauts intercontinentaux (plus courants avec Tor) comme comportement suspect et vous faire vérifier qu'il ne s'agit que de vous plus fréquemment.
Probablement, s'ils ont la clé privée d'une autorité de certification racine à laquelle votre navigateur fait confiance et oui, vous pouvez le détecter si vous utilisez l'épinglage certifcate, c'est-à-dire. ne faites pas confiance à l'autorité de certification, mais stockez les certificats pour chaque site auquel vous vous connectez.
La situation MITM ici est simplement compliquée par l'utilisation du VPN. Le VPN crypte le trafic vers le fournisseur VPN. À partir de là, le trafic est exactement comme il proviendrait d'un FAI, mais dans ce cas, votre FAI est où que vous soyez VPN. Votre fournisseur VPN dispose donc de toutes les informations que votre FAI pourrait obtenir.