VPNはどのようにSSLトラフィックをルーティングし、セキュリティを危険にさらしていますか?
VPNの動作に関する私の理解が正しければ、私とインターネット全体の間のすべてのトラフィックはVPNのサーバーを経由してルーティングされます。そのため、攻撃者はVPNと私との間の暗号化されたトラフィックしか見ることができず、そのコンテンツや実際の宛先を知ることはできません。宛先は、リクエストが最初にどこから来たのか(つまり、私)も確認できません。私は今のところ正しいですか?
SSLが登場したとき、どのように機能するのでしょうか? VPN経由でGmailにアクセスするとします。 VPNは私の代わりにGmailに接続するので(逆も同様です)、Gmailと私のコンピューター間の通信を復号化し、再度暗号化して両端に送信する必要はありませんか?だとしたら:
- 明らかに、これはVPNがすべての平文通信を見ることができることを意味しませんか?
- 上記が当てはまる場合、それはMITM攻撃ではないでしょうか?
- 上記が当てはまり、新しい信頼されたルート証明書をインストールしていない場合、ブラウザが警告を表示しないのはなぜですか?
問題はVPN全般についてですが、私はOpenVPNを使用しています。
ネットワーク通信は、複数の 独立したレイヤー を使用して行われます。 VPNは1つの層であり、通信用のチャネルであり、SSLは別のものです。それらは干渉しません。
まったく異なるトピックについて、誰かが インターネットは一連のチューブ だと言いました(そして 嘲笑された でした)。しかし、チューブの類推を使用して、VPN内のSSLの概念を説明できます。
SSLがブラウザからGmailのサーバーに実行されるチューブのようなものだと想像してください。そのチューブ内にデータを送信すると、外部の誰もそれを見ることができません。 VPNは、あなたからVPNサーバーへの別の大きなチューブです。 SSLチューブをVPNチューブに通します。データはこれらの2つのチューブの内側にありますが、VPNチューブはVPNサーバーで終了し、SSLチューブは中断されずGmailに送られます。
VPNは黒いチューブで、色付きのチューブはすべての重要なサイト(Gmail、Paypalなど)へのSSLトンネルです。銅線がデータです。
したがって、データのセキュリティに妥協はありません。
視覚化がお役に立てば幸いです。
Googleが情報を送信するエンドポイントがVPNゲートウェイであることは事実ですが、不足しているのはSSLの内容です。コンピュータは引き続きSSLセッションの秘密鍵を生成し、それを送信して、通信するサーバー(GMail)のみがそれを開くことができるようにします。次に、あなたとGMailが安全な接続で話している場合、GMailだけが読み取れる方法でパスワードを送信します。したがって、VPNエンドポイントはGMailとの通信について何も認識せず、GMailはVPNのエントリポイントに送信していることのみを認識します。