web-dev-qa-db-ja.com

SSL接続を使用しているときにVPNが一瞬落ちるとどうなりますか?

状況

SSLインターセプトを使用してBigIPファイアウォールを介してルーティングされる接続を使用してオフィスにいます。私たちのコンピューターには、インターセプト証明書を許可するためのルート証明書があります。 https://www.google.com/ などのサイトを参照してセキュリティ証明書を表示すると、ファイアウォールによって発行された証明書が表示されますが、ブラウザーは、コンピューター上のルート証明書。

ファイアウォールを迂回するVPN接続があります。 VPNネゴシエーションで使用される証明書は予想されるVPNサーバー証明書であり、ファイアウォールがこの接続を傍受していないことを示しています。接続すると、すべてのトラフィックがVPN経由でルーティングされ、HTTPSトラフィックにはファイアウォール証明書の代わりに適切なサイト証明書が表示され、HTTPSトラフィックが傍受されなくなったことを示します。

混乱

VPNサーバーは時々接続を一時的に切断します(OpenVPNは接続を再ネゴシエートしていることを示し、3〜5秒以内に再接続します)。これが発生している間に実行されるAJAX /その他のバックグラウンドHTTPSリクエストはどうなりますか?接続はビートを見逃すことはないようです(更新されたデータはページ上で更新され続けます)。これは、VPN接続がダウンしている間でもトラフィックが流れ続けることを示唆しています。

ブラウザは、VPN接続がダウンしている間、ファイアウォール証明書を使用してHTTPS接続を一時的(かつ透過的に)再ネゴシエートしますか?または、ファイアウォールはどういうわけか、データが既存の接続の一部であることを確認し、MITM処理せずにデータを渡しますか?またはAJAX呼び出しは実際には証明書の変更のために拒否され、ページはドロップする前に取得したものを更新し続けているため、ドロップのみ感じ =私にとって継続的ですか?

詳細

  • プラットフォーム:Windows 7
  • トンネル:OpenVPNサーバー、OpenVPN GUIクライアント
  • ブラウザ:Google Chrome(そして時にはMozilla Firefox)
  • ファイアウォール:f5 BigIP、おそらくAFM

これは、VPNでファ​​イアウォールをバイパスすることが(道徳的、倫理的、合法的など)かどうかという問題ではありません。これは、VPNが一時的にドロップしたときにデータがどうなるか、および傍受される可能性があるかどうかについての質問です。私はこれを具体的に行う権限を持っています理由法的意味合い。

tlscertificatesfirewallsvpnssl-interception
7
Doktor J

ネットワークスタックの「tcp」は、tcpタイムアウトよりも短い停止時間を適切に補正し、サーバーに、失われたパケットを再送信するように要求します。既存のソケット接続は、別のルートを介して切り替えられません(これは多くの場合、ルーターで行われますが、エンドポイントデバイスでは行われません)。 tcpネットワークスタックはこの点で非常に優れているため、ブラウザ内にそのようなイベントを処理する機能はありません。

ネットワークに接続せずにコンテンツを配信する方法がわかりません。レンダリングとJavaScriptの実行は、コンテンツの取得(サーバーとローカルキャッシュの両方)から非同期で行われるため、データパケットを交換しなくても画面が変わる場合があります。

3
symcbean

VPNアプリケーション全般は、ネットワークドライバーとしてインストールされます。これは、システムに「Hey!私を通してあなたのすべてのトラフィックを送ってください!」

[〜#〜] vpn [〜#〜]が脱落した場合、いくつかの原因が考えられます。

  • ルーターとシステム間のエラー

  • VPNドライバー/アプリケーションのエラーまたはネットワークアダプターの使用を停止するようシステムに強制する何らかの外部の影響

  • ISPでわずかな障害が発生した(おそらくない)

  • 上記の組み合わせ。

これらすべてのケースで、接続が切断されると、*ネットワークアダプターまたはVPNアダプターが停止します。 これは、システム構成と速度/能力にのみ基づいています。これは、タップをオンにしてシンクの下に手を伸ばすのと同じです。バルブから。 これらのパケットを送信する場所はありません。[〜#〜] but [〜#〜]-システムが可能であれば別のアダプタをフォールバックとして使用するように構成されているか、または切り替えることができる速さに応じて、システムがこれらのパケットを送信先に送信し続ける-つまり、ファイアウォールはコンテンツを再び表示できるようになります。

他の可能な緩和戦略には、VPNポートを除くすべてのポートのブロック(UDP 1194を除くすべてをブロック)が含まれる可能性があります-これにより、すべてのデータがVPNポート経由でルーティングされる必要があります。

ただし、多くのサイトでは、複数のIPから数秒離れた同じCookieを含むパケットを検出すると、すぐにログアウトします。ただし、雇用者(またはファイアウォールを管理する人)がデータを転送して読み取る可能性があります。

さらに、多くのVPNプログラムには、VPN接続が失敗した場合に監視して、パケットの送信を即座に停止するキルスイッチが付属していることにも触れておきます。 OpenVPNはまだ対応していません。

1
thel3l