Hva er en SSL VPN? En rask guide til SSL og TLS
Secure Socket Layer (SSL) er en sikkerhetsprotokoll som oftest brukes til å etablere en kryptert kobling mellom en webserver og en nettleser. Denne krypterte lenken sikrer at all data som kommuniseres mellom en webserver og en nettleser forblir sikker og privat. I tillegg hjelper SSL-sertifikater til å forhindre angrep på mennesker i midten (MitM) ved å sikre at brukerne kobler seg til riktig server.
Når det gjelder virtuelle private nettverk, brukes SSL-kryptografi for å gi en sikkert kryptert tunnel mellom VPN-klienter og VPN-servere. Dette er heller ikke overraskende hvorfor de ofte blir referert til som SSL VPN-er.
Contents
SSL vs TLS
Før 2015 brukte alle VPN-ere Secure Socket Layer-kryptering. Siden den gang har VPN-ene tatt i bruk SSLs etterfølger Transport Layer Security-protokollen (TLS). TLS brukes til å kryptere alle datapakker som reiser mellom en Internett-tilkoblet enhet og en SSL VPN-server.
En SSL VPN gjør dette ved å tilby ende-til-ende-kryptering (E2EE) mellom VPN-klienten og VPN-serveren. Som tilfellet er med den krypterte koblingen mellom en server og en nettleser, sikrer TLS-kryptering at all data som sendes fra en VPN-abonnents enhet til en VPN-server er privat og sikker.
Fordelen med SSL / TLS er at tredjeparter ikke er i stand til å avskjære eller "snuse" de krypterte dataene. Dette hindrer Internett-leverandører, myndigheter, arbeidsgivere, lokale nettverksadministratorer og nettkriminelle fra å kunne utføre "pakkesniffing" for å få tilgang til trafikken inneholder. Det beskytter også mot menneske i midten (MitM) angrep.
Transport Layer Security (TLS) - den nyeste standarden
Til tross for at de ofte blir referert til som SSL VPN-er, er Secure Socket Layer-kryptering i stor grad blitt erstattet av en sikrere protokoll TLS. Dette skyldes det faktum at det gjennom årene ble funnet en rekke sårbarheter (POODLE, DROWN) i SSL-protokollen.
Dette førte til slutt til at SSL-protokoller (SSL 2.0 og 3.0) ble avskrevet av Internet Engineering Task Force (IETF). Det er av denne grunn at SSL VPN-er (sikre) nå implementerer TLS. SSL er ikke lenger klarert for å sikre datasikkerhet og personvern.
TLS stopper vellykket avlytting og manipulering ved å sikre dataintegritet mellom VPN-klientprogramvaren og VPN-serveren.
Bedriftsbruk
Bedrifter bruker ofte SSL VPN-teknologi for å tillate sikre eksterne tilgang VPN-tilkoblinger fra en nettleser. Dette gjør det mulig for ansatte som jobber eksternt for å få sikker tilgang til bedriftens ressurser og datasystemer hjemmefra eller mens du er på reise.
E2EE levert av en virksomhets SSL / TLS VPN sikrer den ansattes eksterne internettøkt. Dette holder all bedriftsdata sikker mot ondsinnet avskjæring og bedriftsspionasje.
Forbruker VPN-bruk
Forbruker-VPN-er tilbyr en tjeneste til enkeltpersoner som ønsker å sikre sine personlige data online. Kommersielle VPN-er tillater også folk å skjule sin virkelige IP-adresse - for å late som de er på et utvalg av avsidesliggende steder rundt om i verden. Dette kalles geo-spoofing.
En VPN beskytter brukerens datasikkerhet ved å hindre alle tredjeparter i å kunne snuse på trafikken sin. Denne typen VPN brukes av hundretusener av mennesker over hele verden for å stoppe ISP-er, regjeringer, utleiere, universiteter - og enhver annen lokal nettverksadministrator - fra å spore dem online.
En ting som er verdt å huske på er at i motsetning til en SSL VPN-bedrift, leverer ikke en forbruker-VPN E2EE. Dette er fordi VPN-leverandøren avkrypterer dataene før de sender dem videre til sin endelige destinasjon (internett).
SSL-kryptografi er en viktig del av den markedsledende VPN-protokollen som i dag brukes av kommersielle VPN-leverandører. Denne typen VPN-kryptering kalles OpenVPN.
OpenVPN-krypteringsprotokoll
OpenVPN er en åpen kildekode VPN-protokoll utviklet av OpenVPN-prosjektet siden 2001. OpenVPN er en SSL VPN som bruker SSL / TLS for nøkkelutveksling. Den er avhengig av OpenSSL-biblioteket, så vel som TLS-protokollen.
OpenVPN-kryptering kan betraktes som sikker fordi den implementerer sikker TLS for nøkkelutveksling (på kontrollkanalen). I tillegg kan OpenVPN utføres med ekstra sikkerhets- og kontrollfunksjoner.
OpenVPN har vært gjenstand for to uavhengige revisjoner - noe som betyr at det kan stole på (så lenge det er implementert etter de nyeste godkjente standardene).
Hvorfor OpenVPN?
Fordelen med OpenVPN er at den er ekstremt tilpasningsdyktig; gir mulighet for portabilitet på tvers av flere plattformer og prosessorarkitekturer. I tillegg er det enkelt å konfigurere og er kompatibelt med både NAT og dynamiske adresser.
OpenVPN kan dessuten konfigureres til å fungere ved hjelp av TCP (Transmission Control Protocol) eller UDP (User Datagram Protocol)..
Hvorfor SSL / TLS?
TLS-håndtrykk på kontrollkanalen beskytter datakanalen ved å oppdage endringer og sikre at data konfidensialitet er på plass. OpenVPN UDP og TCP er begge utsatt for sårbarheter på transportsjiktet uten TLS-kryptering. Dette er grunnen til at SSL / TLS-håndtrykk er en så integrert komponent i protokollen.
I utgangspunktet gjør SSL tre ting:
1. Den sørger for at du kobler til VPN-serveren du tror du kobler til (certs).
2. Den utfører en kryptert nøkkelutveksling for å opprette en sikker tilkobling (RSA)
3. Den omslutter alle data i en kryptert tunnel
Hvorfor er OpenVPN sikker hvis SSL er utdatert?
OpenVPN inneholder en åpen kildekodeimplementering av SSL- og TLS-protokollene, som gjør det mulig for OpenVPN å benytte seg av alle chifrene som er tilgjengelige i OpenSSL-pakken. Sikker OpenVPN bruker TLS på kontrollkanalen, ikke de utdaterte SSL-protokollene. I tillegg autentiserer OpenVPN pakker ved hjelp av HMAC for ekstra sikkerhet.
OpenVPN er med andre ord ikke nødvendigvis sikkert som standard. Snarere er det en ekstremt allsidig VPN-protokoll som kan implementeres på en av forskjellige måter - mange av dem vil ikke nødvendigvis være sikre.
Det er av denne grunn at vi på ProPrivacy.com regelmessig tester og vurderer VPN-er - ser nøye på hvordan OpenVPN-protokollen implementeres av hver leverandør. Våre minstestandarder for OpenVPN-implementering er:
AES-128-CBC-chiffer, RSA 2048 håndtrykk, med HMAC SHA1 for godkjenning.
For å være virkelig sikker, anbefaler vi at OpenVPN-kryptering skal implementeres med en flyktig nøkkelutveksling eller "Perfect Forward Secrecy" (PFS). Våre minstestandarder for PFS er Diffie Hellman Key Exchange (DHE).
Klikk her for en fullstendig guide for VPN-kryptering.
For mer informasjon om hvordan SSL-sertifikater og https fungerer, sjekk guiden vår her.
Tittelbilde: Funtap / Shutterstock.com
Bildekreditter: Profit_Image / Shutterstock.com, Bakhtiar Zein / Shutterstock.com, WEB-DESIGN / Shutterstock.com