Привет всем. Я работаю в области кибербезопасности уже около 2 лет. Я стараюсь как можно лучше понять технические “почему” для практик, когда это возможно. То, чем я занимаюсь в последнее время, так это техническими преимуществами использования VPN с фокусом на клиента.
Я знаю основы работы VPN, плачу за него и использую его лично, потому что, когда я вошел в эту профессию, я всегда слышал, что безопаснее использовать VPN.
Я видел много людей, которые говорят и публикуют что-то вроде: “Я не использую VPN дома, но всегда следует использовать VPN в публичной сети, такой как отель или ресторан”
Я понял в прошлом месяце, что на самом деле не знаю, почему это так, насколько я думал, и мои исследования в интернете и обсуждения с другими не оставили меня удовлетворенным. Я надеялся получить несколько мнений от людей, которые немного поработали в этой сфере.
Если я нахожусь в ненадежной публичной сети, я отслеживаю несколько рисков:
-
Злой близнец → Я подключился к вредоносному устройству и теперь прохожу через него, чтобы сделать запрос.
-
Скомпрометированный маршрутизатор → Потенциальный доступ к просмотру моих пакетов, выходящих из сети.
-
Совместное использование сети с потенциально вредоносным лицом → Я уверен, что они могли бы выполнять arp-сканирование и исследовать мое устройство.
Я уверен, что есть пробелы в моих знаниях по этому поводу, поэтому, пожалуйста, дайте мне понять, если есть вещи, которые я не учитывал, так как я надеюсь узнать из этого.
Для риска 1 и 2: Я запустил Wireshark перед тем, как создать этот пост, чтобы проверить некоторые из моих основных пониманий TLS. Когда я зашел на reddit, похоже, я действительно использовал TLS. Насколько я понимаю, большинство веб-сайтов используют HTTPS. Если бы “плохой человек” шпионит за мной, даже в публичной сети, они бы увидели мой ClientHello, который действительно содержит SNI для reddit и мою информацию JA3. После этого все данные приложения зашифрованы. Так что они в основном будут знать, что кто-то с моим приватным IP и MAC устанавливает TLS-соединение с reddit.
Теперь в более серьезной атаке, такой как Злой близнец, я предполагаю, что существует риск получения вредоносного ПО из лицевой позиции MitM, в зависимости от того, использует ли веб-сайт какие-либо незашифрованные вещи, такие как файлы JavaScript, если я полагаюсь только на TLS без VPN.
Для риска 3: Я могу получать пинги и сканирования, совместно использую сеть с кем-то. При должной безопасности конечного устройства это не кажется слишком плохим, не идеальным, но VPN не решает эту проблему. Создание туннеля к серверу VPN не исключает того факта, что кто-то в моей сети может попытаться взаимодействовать с моим приватным IP/MAC.
Вот преимущества VPN, которые я отслеживаю:
- Обфускация геолокации / Конфиденциальность
- Зашифрованный туннель от клиента к серверу VPN. Так что, если я зайду на что-то, что не является HTTPS, мой незашифрованный веб-запрос будет внутри зашифрованного VPN-туннеля по пути к серверу VPN; однако трафик с сервера VPN к HTTP-серверу будет незашифрованным.
- Может быть, труднее удалить шифрование у провайдера VPN, чем у TLS?
Есть ли что-то, что я упустил в рисках выше или преимуществах использования VPN в контексте ненадежной сети. Мне кажется, что кто-то, вероятно, будет в порядке, если они собираются на уважаемые веб-сайты, даже когда они на публичной сети. Некоторые шпионы просто получат кучу SNIs и всего остального в этом клиентском приветствии и ответе сервера.
Я пытаюсь заполнить свои технические пробелы, а не просто соглашаться с утверждением “VPN хорош, так безопасен!”.
Редактировать:
Спасибо всем, кто участвовал в этом обсуждении! Я многому научился из различных точек зрения и технических деталей!