公衆Wifiに対するTLS認証/ OpenVPN / MITM攻撃
私の質問は、OpenVPNなどのSSL VPN接続が、パブリックWifiに対するMITM /スプーフィング攻撃からどのように保護されるかについてです。
たとえば、誰かがプロキシとして機能するハニーポットゲートウェイとして「パイナップル」またはルーターを設定している場合、クライアントとOpenVPNサーバー間の認証の動作により、なりすましやMITMから保護されます。 TLSを使用した初期認証とサーバーの公開キー(証明書)の交換、およびクライアントデバイスに既に格納されているCA証明書との比較により、OpenVPNサーバーが実際にそれが言っている人物であるかどうかが識別されますか?
私がその誤りを犯した場合、誰かがプロセスを説明できますか?それが正しい場合、ハンドシェイクに沿ってMITM攻撃を受けやすい他のポイントがありますか?
皆さん、ありがとうございました
OpenVPNの場合、証明書はすでにクライアントに認識されており、その時点で交換は行われないため、クライアントを途中で通信させるためにサーバー証明書を侵害する必要があるという考えに基づいて、MiTMは軽減されます。端末。
MiTMが通信用の代替証明書を提示した場合、クライアントはそれを拒否します。同様に、中間の攻撃者が実行できる最善の方法は、クライアントの認証を提示することです。ストリームをデコードします。
OpenVPNサーバーが適切に構成されている場合、OpenVPNのようなものの侵害は悪名高いほど悪名高いものです。その製品のセキュリティモデルはセキュリティのレイヤーに基づいており、攻撃者は無関係なコードツリーに対して複数の攻撃を同時に実行する必要があります。 (ここでは、tls-authを使用した最良のシナリオが適切に実装されていると想定しています)
CVEリストは小さい http://www.cvedetails.com/vulnerability-list/vendor_id-3278/Openvpn.html 実際の整合性リークとは対照的に、ほとんどがDoSの範囲に該当します。私の知る限り、この製品に対する強制的に成功したMiTM攻撃はありません。
有能なアルファベットの組織がいくつかあるかもしれませんが、平均的なパイナップルのユーザーは、ここで多くを行うことができないでしょう。