עד כמה בטוחים VPNs?

(של אלסנדרו רוגלו)
27 / 06 / 22

במאמר קצר זה אנסה לענות על השאלה שנשאלתי לפני מספר ימים: "עד כמה VPN בטוח?" בהזדמנות זו אתייחס גם לשני נושאים מקדימים, שללא ידיעתם ​​לא ניתן להבין על מה אנו מדברים: מה המשמעות של VPN e איך זה עובד. התשובות צריכות להיות פשוטות יחסית אבל אנחנו לא לוקחים שום דבר כמובן מאליו ומנסים להבין, כמו תמיד, על מה אנחנו מדברים.

כדי לוודא שאיננו טועים, נאמר לנו על ידי אחד מספקי שירותי הרשת הגדולים בעולם, CISCO: "רשת פרטית וירטואלית, או VPN, היא חיבור מוצפן דרך האינטרנט ממכשיר לרשת. החיבור המוצפן מסייע להבטיח שמידע רגיש מועבר בצורה בטוחה. הוא מונע מאנשים לא מורשים לצותת לתעבורה ומאפשר למשתמש לנהל לעבוד מרחוק. טכנולוגיית VPN נמצאת בשימוש נרחב בסביבות ארגוניות."

כבר גילינו שראשי התיבות VPN מתייחסים לאחד "רשת וירטואלית פרטית" כחיבור מוצפן בין מכשיר (מחשב, טאבלט, סמארטפון...) לרשת (בדרך כלל רשת חברה), הכל מבוסס על האינטרנט. החיבור המוצפן עוזר להבטיח שהנתונים מועברים בצורה מאובטחת. 
ה-VPN מונע יירוט של תעבורת נתונים על ידי אנשים לא מורשים ומאפשר למשתמשים שלו לעבוד מרחוק.

מה שהדגשתי הם התכונות העיקריות של VPN. לפני שנמשיך בואו נעשה דוגמה VPN טרום אינטרנט. כולנו זוכרים שכילדים בבית הספר קרה לא פעם שהיינו צריכים לתקשר משהו לחבר לכיתה שהיה שתי שורות לפני. לאחר שניסינו לתקשר, אולי קראו לו בקול נמוך, וכך משכו את תשומת ליבו של המורה ולכן צולמו, הומצאו שיטות פחות רועשות.

השיטה הראשונה שבה השתמשתי בעצמי הייתה לכתוב את ההודעה בתוך פיסת נייר, לקפל אותה לארבעה ולכתוב את שם מקבל ההודעה על הנייר המקופל, ואז לגעת בכתף ​​של בן הזוג הראשון שהיה בכיוון. של הנמען ומבקשים בהנהון להעביר את ההודעה. 
ברצוני לציין שבדוגמה זו הכיתה פעלה כרשת אינטרנט, כל חבר לכיתה היה למעשה צומת ברשת. העלון היה תמיכה בנתונים חשובים (אחרי בית הספר הולכים לרחוץ בנהר?). קיפול הסדין לארבעה הבטיח מינימום ביטחון (מעט מאוד אני מודה!). שם הנמען שנכתב למעלה היה המידע שנדרש כדי להעביר את ההודעה ליעדה.

מערכת עובדת עם הנחה, כל החברים חברים זה בזה ואף אחד לא סקרן.

כפי שאני מתאר לעצמי שחווית גם בהזדמנויות דומות, לחשוב שכולם חברים ושאף אחד לא סקרן זה יפה מנקודת מבט אנושית אבל ממש לא אמיתי. 
מה שקרה לעתים קרובות באינטרנט הקדמוני הזה היה שאחד הצמתים (בן לוויה סקרן) במקום להעביר את ההודעה למלווה הבא, פתח אותו וקרא אותו, ורק אז, במקרה הטוב, סגר אותו והעביר אותו לנמען האמיתי. .

הפתרון שאימצתי, ואני מתאר לעצמי שרבים מכם קוראים את זה, היה פשוט, זה היה VPN. בטח, אנלוגי, אבל זה עדיין VPN. ה-VPN עבד כך. 
מכיוון שהמקבל של ההודעות שלי היה בן זוגי שאיתו שיחקנו כדורגל כל יום, הסכמנו להשתמש בהודעות מוצפנות. הצופן שלנו היה די פשוט, זה היה פשוט עניין של החלפת אות אחת באחרת לפי תבנית שעליה סיכמנו.

היום אני יודע שזה היה צופן של קיסר אבל אז זה לא משנה, הדבר החשוב היה שזה עבד. וזה עבד... תמיד היו כאלה שפתחו את העלון מתוך סקרנות אבל בדרך כלל לא הצליחו להבין מה כתוב בו. בפועל, בתוספת הצפנה יצרנו VPN אמיתי, בלי לדעת זאת!

כיום משתמשים ב-VPN לחיבור מאובטח של מחשב המחובר דרך האינטרנט לרשת ארגונית. המחשב האישי מחוץ לרשת, המחובר לאינטרנט, יוצר חיבור מאובטח עם שרת שירות VPN באמצעות פרוטוקול מאובטח (בדרך כלל נעשה שימוש ב-TLS).

כעת, השאלה שנרצה לענות עליה היא: עד כמה VPN בטוח?

אחרי שנבין מה זה ואיך זה עובד, בואו נבין קצת יותר על האבטחה של VPN.
קל להבין שיש הרבה גורמים במשחק בהערכת רמת האבטחה של ה-VPN. בואו ננסה ביחד להבין את נקודות התורפה.

ההצפנה

אחד הגורמים החשובים הוא סוג ההצפנה שבה אתה משתמש. כפי שציינתי קודם, השתמשתי ב- צופן של קיסר, אלגוריתם קריפטוגרפי מהפשוטים ביותר, המורכב מהחלפת אות באות אחרת מאותו אלפבית, כפי שניתן לראות מהאיור.

הדברים עבדו די טוב אבל לא היה קשה להבין איך לפענח את המסר ותמיד הייתה אפשרות שאיזה לוויה שובב במיוחד ייקח את פיסת הנייר וישמור אותה לעצמה.

באופן דומה, אחד המאפיינים של VPNs הוא אלגוריתם ההצפנה המשמש להצפנת הנתונים ולקביעת הנתיב הטוב ביותר להגיע לנמען. מכיוון שהאלגוריתמים שבהם משתמשים VPNs שונים, ברור שגם האבטחה של VPNs שונה.

באופן כללי, אנו יכולים לומר ש-VPN דורש שימוש ב-a אלגוריתם הצפנה (כדי להצפין ולפענח נתונים) וכן א פרוטוקול מאובטח להקים ולתחזק את ערוץ התקשורת (פרוטוקול קידוד לחיצת יד).

אחד מאלגוריתמי ההצפנה הנפוצים ביותר בהיסטוריה של VPN להקמת הערוץ המוצפן נקרא RSA-1024 (Rivest-Shamir-Adleman). עדיין יש VPN שמשתמשים בו למרות העובדה שמאז 2014 האלגוריתם נפצח על ידי ה-NSA האמריקאי (או לפחות כך אומרים). כיום אלגוריתמים רבים עושים שימוש ב-RSA-2048, כאשר המספר מציין את האורך בסיביות של מפתח ההצפנה. תיאורטית, ההצפנה שמספק RSA-2048 עמידה בפני התקפות "Brute Force" מכיוון שייקח זמן רב מדי לביצוע, אבל אני גם זוכר שסוג זה של התקפה אינו היחיד האפשרי, הלידה והתפשטות מתמדת של ה מחשבים קוונטיים מטיל ספק בתקפותם בפועל של אלגוריתמי הצפנה המבוססים על החלפת מפתחות.

בשנים האחרונות היה ממש ממהר לחקור את האלגוריתמים המכונים "פוסט קוונטים", כלומר, שיכולים לעמוד בפני התקפות כוח גס המבוצעות על ידי מחשבים קוונטיים. אם ניקח לדוגמא את OpenSSH, הוחלט להציג את גרסה 9 המבוססת על אלגוריתם פוסט קוונטי.

קצת למעלה אמרתי ש-RSA-1024 כנראה נסדק, אני לוקח את הרעיון רק לרגע כי הוא מציג הבהרה הכרחית: כשאנחנו מדברים על מידת הבטיחות של VPN אין תשובה אחת שכן זה תלוי במי שואל את השאלה. כהנחת יסוד לכל תשובה חצי רצינית לשאלה, עלינו לזכור את הצורך ב- הערכת סיכונים כלומר הערכת הסיכון הקשור לחברה עליה אנו מדברים.

אני לא רוצה להיכנס לעניינים טכניים אבל אתן דוגמה רק כדי להבין מה זה. אם החברה שלנו עוסקת בייצור חלקי מכונות תעשייתיות עבור אזור מסוים בעולם, נניח עבור איטליה, והיא צריכה להשתמש ב-VPN לתקשורת שלה, זה יהיה דבר טוב. להימנע משימוש ב-VPN של חברה בכל דרך הקשורה למתחרים הישירים שלה בשוק. למרבה הצער, לא תמיד קל להבין על מי אפשר לסמוך ועל מי לא. הכלל שלי הוא כזה אני לא סומך על אף אחד, אבל זה כבר סיפור אחר.

כדי לחזור ל-VPN, אחד הפרוטוקולים הסטנדרטיים הנפוצים ביותר כיום הוא OpenVPN. זה פרוטוקול קוד פתוח אשר על כן ניתן ללמוד ולנתח בפומבי על ידי כל מי שיש לו את הכישורים, העניין והרצון לעשות זאת.

כמו תמיד, יש לקחת בחשבון גורמים נוספים הקשורים לעולם הדיגיטלי. כל המערכות, התוכנה, החומרה או כל שילוב של השניים שניתן להגות, כפופים ל:
- פגיעות עקב ייצור גרוע;
- שגיאות של אדם, משתמש או טכנאי, בתצורה ובשימוש (זהו המקרה הנפוץ ביותר מכיוון שהשימוש ב-VPN אינו מבטל את הסיכון לגניבת אישורים, להיפך, הוא כנראה מגדיל אותו על ידי יצירת משתמש אחד ציפייה כוזבת לביטחון).

אם אתה רוצה לקבל מושג על הפגיעויות של OpenVPN, רק כדוגמה, אתה יכול לעיין ברשימה הזו: Openvpn - פרצות אבטחה (cvedetails.com).

לסיום, לאחר שניסיתי להסביר בצורה הפשוטה ביותר מה זה VPN ואחרי שהזכרתי כמה שאלות בסיסיות, אנסה לענות על השאלה שממנה התחלנו: כמה בטוחים VPNs?

התשובה הפשוטה ביותר היא: יותר טוב מטקסט פשוט.

התשובה הרצינית יותר היא: זה תלוי בהקשר.

התשובה השלמה יותר היא: כדי שנוכל לומר משהו משמעותי אנחנו צריכים לעשות הערכת סיכונים ואז נוכל לבחור VPN המתאים להקשר האסטרטגי, הטכנולוגי והארגוני בו אנו נמצאים!

ה-VPN מגביר את האבטחה, אבל הוא גם מגדיל את היקף האבטחה ולכן מגדיל את הסיכונים. אסור לנו לשכוח את זה לעולם הבטיחות תלויה בחוליה החלשה בשרשרת ובדרך כלל זה האיש!

כמו תמיד, אני מודה לחברים של SICYNT על העזרה וההצעות. במצגת שלי בחרתי לפשט אז ויתרתי בכוונה על דיבור על אימות ויושרה, מושגים חשובים אבל מה שהיה עושה את המאמר פחות ברור. יהיו לנו הזדמנויות אחרות לעשות זאת.

להעמיק: