ソース管理に使用している内部サーバーがあるとします。 VPN接続を介してそのサーバーにのみアクセスする場合でも、ソース管理サーバーでSSLをセットアップして、誰も私の通信を傍受できないようにする必要がありますか?
VPNは仮想プライベートですネットワーク:マシンのグループを他の世界から分離し、これらのマシンが部外者に邪魔されずにお互いに話します。分離が合理的に完全な場合(暗号化を使用し、それを使用する場合正しく)、VPN内の2つのマシン間の通信は盗聴から保護されますVPNにないマシンからの変更。
しかし、VPNはすでにVPN内にいる攻撃者に対して何もしません。デスクトップシステムはVPN内にあります。あなたが話しているサーバーもそうです。しかし、他のマシンもあるかもしれません。実際、企業のコンテキストでは、リモートのすべての従業員がVPNに参加するのが一般的です。VPNには多くの人々と多数の企業サーバー、およびセキュリティに問題のあるその他のシステム(プリンターなど)が含まれます。
別のポイントは、VPNがマシンの間にあることです。 「メインフレームモデル」では、特定のマシンが、個別の権限を持つ個別のユーザーからプロセスを実行できます。 SSLを使用すると、セキュリティは、クライアントマシン上の1つの特定のプロセスからサーバー上の1つの特定のプロセスまでになります。 VPNが認証を使用する場合でも、VPN認証は関連するマシンの個々のプロセスで利用できないため、クライアントがサーバーのIDに関する正確な情報を取得するのは不便です。
したがって、VPNが存在する場合、SSLは次のすべての特性が満たされた場合にのみ冗長になります。
不明な場合は、SSLを使用して、ネットワークを悪意のあるものと見なしてください。これが安全な方法です。
これは、a)使用中のVPNが暗号化を提供するかどうか、およびb)VPNエンドポイントがサーバーであるかどうかに依存します。たとえば、オフィスネットワークにVPN接続している場合、サーバーに到達するまで、トラフィックはVPN出口ノード(VPNが暗号化を提供している場合)から暗号化されません。 SSLを使用すると、サーバーへのトラフィックがすべて暗号化されます(ファイアウォールでSSLを使用している場合を除く)。
VPNは、トンネルを通過するトラフィックが暗号化されることを必ずしも意味するわけではないので、まず、暗号化されていることを確認するために、使用しているVPNのタイプを尋ねます。
トラフィックを暗号化しているVPNを使用していると仮定すると、VPNが終了するホストとソースコントロールサーバーの間の通信はまだクリアテキストで移動していると思います。 「プライベート」または「内部」ネットワークでもSSLを使用する。
VPNサーバーがソース管理サーバーと同じマシンであり、IPSecなどのまともなVPNテクノロジーを使用している場合、いいえ、盗聴の観点からSSLを追加してもメリットはありません。メッセージ認証。ここでの唯一の心配は、VPN上の他の誰もがプレーンテキストでトラフィックを表示およびeditできることです。
ただし、VPNとエンドポイントがnotが同じマシンである場合は、SSLを追加する必要があります。これは、VPN暗号化がVPNサーバーで終了し、VPNサーバーが動的なNATゲートウェイとして機能し、本質的にエンドポイントサーバーにダイヤルアウトするためです。それ以降、接続はSSLなどの他の暗号化レイヤーが存在しない限り、プレーンテキストです。
基本的に、SSLは必要ないと思われる場合でも、必ず追加してください。ただし、ファイアウォールオペレーターを混乱させる可能性があります...トラフィックを検査できるようにしたいと考えています。
はい、SSLを使用して機密情報を暗号化する必要があります。 VPNは、インターネット上のエンドポイントとその組織のVPNサーバーのエンドポイントの間に暗号化されたトンネルを確立します。ただし、VPNに参加すると、閲覧するhttps以外のリンクはすべてクリアテキストデータを送信します。これは内部の攻撃者に対して脆弱であり、さらに、トラフィックを傍受できる(同じネットワークセグメントまたは中間者のシナリオに座っている)立場にある誰もが、クライアント(システム)とサーバー。ただし、確率は低くなりますが、内部攻撃者の観点からは可能です。
すみませんが、VPN(ISPと組織間の暗号化トラフィック)とSSL(クライアントとWebサーバー間の暗号化トラフィック)の使用には違いがあるという点を理解していただければ幸いです。