web-dev-qa-db-ja.com

VPNを使用するとMITM(中間者)攻撃を完全に阻止できますか?そうでない場合、他にどのような防御策を検討する必要がありますか?

コンテキストを追加するために、VPNを使用してリモートデスクトップに接続することに興味がありますが、他のサービスで強調できる大きな違いがある場合は、それにも興味があります。

7
Arlix

VPNクライアントが適切に構成され、動作していると仮定すると、VPNを使用すると、コンピューターとVPNサーバーの間でMiTM攻撃が発生するのを防ぐことができます。 VPNサーバーと接続しているデスクトップ間でMiTM攻撃が発生する可能性はまだあります。

VPNとデスクトップの両方が会社のプライベートネットワーク内にあると仮定すると、VPNを介したデスクトップへの接続は、会社のネットワーク内の他のネットワーク接続を介した接続と同じくらい安全です。同様に、VPNとデスクトップがプライベートネットワーク内にない場合、接続はパブリックインターネット上のMiTM攻撃に対して開かれています。

3
Neil Smithline

必ずしも。これは、クライアントとサーバーのVPN構成とセキュリティ設定に依存します。拡張については、ネットワークがDiffie Hellmanによって保護されている場合、誰かがMITM攻撃を行うことができます。 VPNがRSA証明書で保護されている場合、それはチャネルの性質に依存します。クライアントが署名済み証明書を介してサーバーの公開鍵でプロビジョニングされており、その証明書を使用している場合(サードパーティのCAに依存しない)、大きなプライム(2048、例えば)。クライアントにルート証明書のバスケットがあり、サーバーがVPNセッションのセットアップ中にその証明書を送信する場合、途中で攻撃される可能性があります。

DHは安全ですか?必ずしも。ただし、これらの配置方法には注意が必要です。 RSSは安全ですか?繰り返しますが、使用方法によって異なります。

オプション:

RSAの場合、VPNのクライアント側にサーバー証明書をプロビジョニングし、CAに依存しないでください。これは、サーバー証明書が自己署名されている可能性があることを意味します。

Diffie Hellmanの場合、グループを変更し、大きなグループを使用します。どういう意味ですか?大きな(1024または2048)安全素数(p = 2q + 1、ここでp&qは素数)とグループに適したg(ジェネレーター)を使用します。これらを生成するソフトウェアをいくつか見つけてください。自分でやらないでください。 IETFやベンダーから提供された、世界の一般的なDHパラメータを再利用しないでください。これがNSAがパッシブな手段によって非常に多くのプロトコルを壊してしまった方法です。

2
Andrew Philips