Насколько безопасны VPN?

(Ди Алессандро Руголо)
27/06/22

В этой короткой статье я попытаюсь ответить на вопрос, который мне задали несколько дней назад: "Насколько безопасен VPN?» По этому поводу я также обращусь к двум предварительным темам, без знания которых невозможно понять, о чем мы говорим: что означает впн e Как это работает. Ответы должны быть относительно простыми, но мы ничего не принимаем на веру и, как всегда, пытаемся понять, о чем говорим.

Чтобы убедиться, что мы не ошиблись, видим, что об этом нам рассказывает один из крупнейших поставщиков сетевых услуг в мире, CISCO: «Виртуальная частная сеть или VPN — это зашифрованное соединение через Интернет от устройства к сети. Зашифрованное соединение помогает обеспечить безопасную передачу конфиденциальных данных. Оно предотвращает прослушивание трафика неавторизованными людьми и позволяет пользователю проводить работать удаленно. Технология VPN широко используется в корпоративной среде».

Мы уже обнаружили, что аббревиатура VPN относится к одному "Виртуальная частная сеть" как зашифрованное соединение между устройством (ПК, планшетом, смартфоном...) и сетью (как правило, сетью компании), основанной на Интернете. Зашифрованное соединение помогает обеспечить безопасную передачу данных. 
VPN предотвращает перехват трафика данных посторонними лицами и позволяет своим пользователям работать удаленно.

Я выделил основные функции VPN. Прежде чем продолжить, давайте сделаем пример VPN до Интернета. Все мы помним, что в детстве в школе часто случалось, что нам нужно было что-то сообщить однокласснику, который был на два ряда впереди. После попыток общаться, возможно, позвав его тихим голосом, тем самым привлекая внимание учителя и, следовательно, будучи заснятым, были изобретены менее шумные методы.

Первый метод, который я сам использовал, заключался в том, чтобы написать сообщение внутри листа бумаги, сложить его вчетверо и написать имя получателя сообщения на сложенной бумаге, затем коснуться плеча первого партнера, который был в направлении получателя и кивком попросите переслать сообщение. 
Я хотел бы отметить, что в этом примере класс действовал как Интернет-сеть, каждый одноклассник был фактически узлом в сети. Листовка была подтверждением важных данных (после школы идем купаться в реке?). Складывание листа вчетверо гарантировало минимум безопасности (признаюсь, очень мало!). Имя получателя, написанное выше, было информацией, необходимой для доставки сообщения адресату.

Система работает с предположением, все товарищи между собой дружат и никому не любопытно.

Как я полагаю, вы также испытывали в подобных случаях, думать, что все друзья и что никто не любопытен, красиво с человеческой точки зрения, но абсолютно нереально. 
В этом первобытном Интернете часто случалось так, что один из узлов (любопытный собеседник) вместо того, чтобы передать сообщение следующему собеседнику, открывал его и читал, а уж потом, в лучшем случае, закрывал и пересылал истинному получателю .

Решение, которое я принял, и я полагаю, что многие из вас читают это, было простым, это была VPN. Конечно, аналог, но это все же VPN. VPN работал так. 
Поскольку получателем моих сообщений был мой партнер, с которым мы каждый день играли в футбол, мы договорились использовать зашифрованные сообщения. Наш шифр был довольно прост, это была просто замена одной буквы на другую в соответствии с согласованным шаблоном.

Сегодня я знаю, что это был шифр Цезаря но тогда это не имело значения, главное, что это работало. И это сработало... всегда находились те, кто открывал листовку из любопытства, но вообще не мог понять, что на ней написано. На практике с добавлением шифрования мы создали настоящий VPN, сами того не зная!

Сегодня VPN используются для безопасного подключения ПК, подключенного через Интернет, к корпоративной сети. ПК вне сети, подключенный к Интернету, устанавливает безопасное соединение с сервером службы VPN по защищенному протоколу (обычно используется TLS).

Теперь вопрос, на который мы хотели бы ответить, заключается в следующем: насколько безопасен VPN?

Поняв, что это такое и как это работает, давайте немного больше разберемся в безопасности VPN.
Легко понять, что на оценку уровня безопасности VPN влияет множество факторов. Попробуем вместе разобраться в слабых местах.

Шифрование

Одним из важных факторов является тип используемого шифрования. Как я уже упоминал ранее, я использовал шифр Цезаря, криптографический алгоритм из числа простейших, заключающийся в замене буквы на другую букву того же алфавита, как видно из рисунка.

Дела шли довольно хорошо, но понять, как расшифровать сообщение, было несложно, и всегда была вероятность того, что какой-нибудь особо озорной компаньон возьмет бумажку и сохранит ее себе.

Точно так же одной из характеристик VPN является алгоритм шифрования, который используется для шифрования данных и установления наилучшего пути для достижения получателя. Поскольку алгоритмы, используемые VPN, различны, ясно, что безопасность VPN также различна.

В целом можно сказать, что VPN требует использования алгоритм шифрования (для шифрования и расшифровки данных) и безопасный протокол устанавливать и поддерживать канал связи (протокол шифрования рукопожатия).

Один из наиболее часто используемых алгоритмов шифрования в истории VPN для установления зашифрованного канала называется RSA-1024 (Rivest-Shamir-Adleman). До сих пор существуют виртуальные частные сети, которые его используют, несмотря на то, что с 2014 года алгоритм был взломан американским АНБ (по крайней мере, так они говорят). Сегодня многие алгоритмы используют RSA-2048, где число указывает длину ключа шифрования в битах. Теоретически шифрование, обеспечиваемое RSA-2048, устойчиво к атакам типа «Brute Force», так как его выполнение займет слишком много времени, но я также помню, что этот тип атаки не является единственно возможным, рождение и все более постоянное распространение в квантовые компьютеры ставит под сомнение фактическую достоверность алгоритмов шифрования, основанных на обмене ключами.

В последние годы наблюдается настоящий ажиотаж в изучении так называемых «постквантовых» алгоритмов, то есть способных противостоять атакам грубой силы, осуществляемым квантовыми компьютерами. Если взять для примера OpenSSH, то было принято решение ввести версию 9 на основе алгоритма постквантовый.

Чуть выше я сказал, что RSA-1024, вероятно, был взломан, я останавливаюсь на этой концепции только на мгновение, потому что она вносит необходимое уточнение: когда мы говорим о том, насколько безопасен VPN, нет однозначного ответа, поскольку это зависит от того, кто задает вопрос.. В качестве предпосылки любого полусерьезного ответа на вопрос мы должны помнить о необходимости Оценка риска то есть оценка риска, связанного с компанией, о которой мы говорим.

Я не хочу вдаваться в технические подробности, но приведу пример, чтобы понять, что это такое. Если наша компания занимается производством деталей промышленных машин для определенного региона мира, допустим для Италии, и ей нужно использовать VPN для своих коммуникаций, это было бы неплохо. избегать использования корпоративного VPN каким-либо образом, связанного с его прямыми конкурентами на рынке. К сожалению, не всегда легко понять, кому можно доверять, а кому нет. Мое правило таково я никому не доверяю, но это уже другая история.

Возвращаясь к VPN, одним из наиболее часто используемых стандартных протоколов в наши дни является OpenVPN. это протокол с открытым исходным кодом поэтому их может изучать и публично анализировать каждый, у кого есть навыки, интерес и желание это делать.

Как всегда, необходимо учитывать дополнительные факторы, связанные с цифровым миром. Все системы, программное обеспечение, аппаратное обеспечение или любая их комбинация, которую можно себе представить, подлежат:
- уязвимости из-за плохого производства;
- ошибки человека, пользователя или техника в настройке и использовании (это наиболее распространенный случай, так как использование VPN не устраняет риск кражи учетных данных, наоборот, возможно, увеличивает его, создавая пользовательский ложное ожидание безопасности).

Если вы хотите получить представление об уязвимостях OpenVPN, просто в качестве примера, вы можете обратиться к этому списку: Openvpn — Уязвимости безопасности (cvedetails.com).

В заключение, попытавшись максимально просто объяснить, что такое VPN, и упомянув некоторые основные вопросы, я попытаюсь ответить на вопрос, с которого мы начали: насколько безопасны VPN?

Самый простой ответ: лучше, чем обычный текст.

Более серьезный ответ: Это зависит от контекста.

Более полный ответ: чтобы иметь возможность сказать что-то значимое, нам нужно провести оценку рисков, а затем мы сможем выбрать VPN, подходящую для стратегического, технологического и организационного контекста, в котором мы находимся!

VPN повышает безопасность, но также увеличивает периметр безопасности и, следовательно, увеличивает риски. Мы никогда не должны забывать, что безопасность зависит от самого слабого звена в цепи и обычно это мужчина!

Как всегда, я благодарю друзей SICYNT за их помощь и предложения. В своей презентации я решил упростить, поэтому я намеренно отказался от обсуждения аутентификации и целостности, важных концепций, которые сделали бы статью менее понятной. У нас будут другие возможности сделать это.

Для углубления:

оборона рейнметалла