web-dev-qa-db-ja.com

VPNを使用しているときにHTTPWebページに登録しても安全ですか?

[〜#〜] https [〜#〜] Webページにのみ登録(アカウント/ログイン)します。ただし、今登録したいWebページはHTTPSを使用していません。会社のVPNに接続しているかどうか疑問に思っていますが、 [〜#〜] http [〜#〜] だけを使用するWebページに登録しても安全ですか?

vpnhttphttps
6
whiteSkar

あなたの会社のVPNはあなたのコンピュータからあなたがあなた自身を登録したいウェブサイトへのデータを暗号化しません、あなたのコンピュータからあなたの会社のVPNサーバーへのデータだけを暗号化します。

HTTPS(正しく使用されている場合)は、マシンからWebサイトへのデータが安全であり、 man-in-the-middle攻撃 の被害者ではないことを確認します。

そう。安全ですか? 「たぶん」(ただし、VPNとは関係ありません)、VPNサーバーからWebサイトに移動する途中で、アカウント/パスワード情報が盗まれる可能性があります。

20
Lenniey

ページに入力した詳細が暗号化されずに送信されることを心配していると思います。

会社のVPNは、ユーザーとVPNサーバー間の接続を保護します。 VPNサーバーは、コンピューターが接続自体を開くのではなく、VPNサーバーとHTTPページ/サーバーの間の暗号化されていない接続を開く必要があります。

企業のインターネット接続は消費者のインターネット接続よりも安全であるため、少し安全かもしれませんが、情報は暗号化されずに送信され、 man-in-the-middle'ing の対象となります。

7
JPain

他の回答に対する私のコメントがかなり長くなっているのを見て、私はそれを分離すると思いました:

企業のVPN接続がSSLと同等のセキュリティをWebサーバーに提供するかどうかは、OPが指定していない問題の接続の正確な詳細を知らずに答えることは不可能です。

ただし、一般的な参考として、次の2つの主要なシナリオを検討する必要があります。

1)ユーザーが接続するために企業ネットワークへのVPN接続を使用している場合企業ネットワーク外の暗号化されていない公開Webサイト提供されるセキュリティは、直接アクセスすることと同等です。企業ネットワークからの同じ暗号化されていないWebサイト。

デバイスと企業ネットワーク間の通信の傍受を防ぎますが、企業ネットワークとパブリックWebサーバー間の傍受を防ぐことはできません。安全性は、企業ネットワークのパブリックWebサーバーへの接続をどれだけ信頼できるかによって異なります。

いずれの場合も、クライアントデバイスからはパブリックWebサーバーに直接接続する適切に構成されたHTTPS接続よりも安全性が低くなりますになります。

ただし、このメカニズムは、たとえば暗号化されていないパブリックホットスポットやその他の信頼できないISPを使用している場合に、ローカル接続での盗聴を防ぎます。

2)ユーザーが暗号化されていない接続に接続するために企業ネットワークへのVPN接続を使用している場合企業ネットワーク上のリソース VPNサーバーの背後、またはVPNサーバー自体、それからそれはターゲットネットワーク自体への接続をずっと保護しています。

これにより、問題のWebサーバーに対するHTTPSとほぼ同等の保護が提供されます。

ysdxの答えは、HTTPサーバーの後のすべてを見逃していることを除いて、最初のポイントをよく示しています。

Webサーバーへの完全に暗号化されたHTTPS接続は、シナリオ2の企業VPNよりも、Webページのソースに対して完全に安全であることを保証するものではありません。

HTTPSは、2つのTCPエンドポイント間のセキュリティ保証を提供します。VPNは、2つのTCPエンドポイント間のセキュリティ保証を提供します。どちらの場合も、エンドポイントはPCであり、他のサーバーの企業/内部ネットワークのエッジにあるサーバー。その後、エッジはどちらの方法でも保護されません。

多くの人は、HTTPSセッション中に接続するHTTPS Webサーバーが、多くの大規模なWebサイトの場合、表示しているWebページの元のサーバーではないことを忘れています。これが発生する多くの理由は次のとおりです。

1)ロードバランサー。多くの場合、企業LANを介して、Webページ上のコンテンツを実際に提供するさまざまなコンテンツサーバーへの暗号化されていないネットワーク接続があります。

2)プロキシやNATなどをリバースして、接続を暗号化せずに、企業LAN上の任意のサーバーやその他の公開Webサイトに転送します。

3)キャッシュサーバーまたはCloudFlareなどのDDoS保護サービス。一部はパブリックインターネット上で動作しますが、接続を別の会社のサーバーに転送して、実際にコンテンツを提供します。通常は、2番目の暗号化接続またはVPNを介します。

4)データベースまたはNAS/SANバックエンド。Webサーバーは、企業LNAを介した別のサーバーへの暗号化されていない接続を使用して、Webサイトのコンテンツを取得します。

これらすべての場合において、Webセッションのセキュリティは、企業VPNの背後にある企業サーバーに接続するのとまったく同じ方法で、HTTPS「ゲートウェイ」の背後にある企業LANのセキュリティに依存します。

3
qasdfdsaq

いいえ、VPNを使用してもVPNトラフィックは安全になりません。 VPNトンネル(VPNサーバーとHTTPサーバーの間)を出るとき、トラフィックは(一般的に)暗号化されません:

                 Unencrypted HTTP here
                          |
                          v
[ HTTP    ]<--------------->[ HTTP ]
[ TCP     ]<--------------->[ TCP  ]
[ IP      ]<->[ IP      ]<->[ IP   ]
[ OpenVPN ]<->[ OpenVPN ]
[ TCP     ]<->[ TCP     ]
[ IP      ]<->[ IP      ]
 Client       VPN server    HTTP server

したがって、VPNサーバーとHTTPサーバーの間のパスが何らかの理由で「安全」であると想定した場合にのみ安全です(同じホストであり、VPNを使用します…)。

1
ysdx