VPN a HTTPS/SSL

Niektóre urządzenia (jak rutery* WiFi albo prywatne chmury obliczeniowe danych = multimedialne serwery plików = NAS) umożliwiają dostęp do nich z zewnątrz przez sieć internet. Wśród metod zabezpieczeń tego dostępu często jest m.in. szyfrowanie (za pomocą certyfikatu i klucza w protokole komunikacji TLS/SSL) — albo — tunelowanie (za pomocą wirtualnej sieci prywatnej VPN, przy czym współpraca pomiędzy IPv4÷IPv6 w VPN nie jest możliwa). Pomijam niektóre inne, odrębne zabezpieczenia urządzeń przed włamaniami (oprogramowanie antywirusowe, zapora sieciowa = ściana ogniowa firewall: aplikacyjna lub sprzętowa; serwery pośredniczące PROXY; maskowanie adresów IP w NAT). Ktoś mądrzejszy i bardziej doświadczony ode mnie, kiedyś podpowiedział mi, że lepsze jest VPN niż HTTPS, ale dopiero teraz potrafiłem odszukać i trochę ułożyć sobie to w głowie. Czy dość lub w pełni poprawnie, to zapewne mi się tylko wydaje, ale na ten moment, to musi mi wystarczyć, co odnotowuję sobie ku pamięci.

W skrócie (bo moim celem nie jest naukowe ani techniczne uzasadnienie), TLS/SSL jest jakby jedną warstwą ukrywania komunikacji. Objawia się np. kłódką (czasami zieloną z nazwą właściciela) w pasku adresowym przeglądarki internetowej (np. Mozilla Firefox, Google Chrome, Microsoft Internet Explorer / Edge), a same adresy zaczynają się od https:// (czyli protokołu HTTPS). W przypadku takiego szyfrowania, tylko dane (treść, informacja, zawartość np. tekst i pliki, np. graficzne, PDF – email, innej strony internetowej) pomiędzy dwoma urządzeniami (serwerem a naszym urządzeniem np. laptoptem, smarftonem, tabletem) są szyfrowane. Bez złamania kluczy nikt z zewnątrz nie pozna zawartości przesyłanych danych. Nawet jeśli ktoś podsłuchuje komputery (włamał się do sieci WiFI/LAN/WAN), to musiałbym wpierw odszyfrować klucze, co wg obecnej wiedzy zajmuje tak długo, że w praktyce jest nieopłacalne. Oczywiście, wszystko zależy od długości kluczy i algorytmów. W przyszłości mogą się pojawić, lub już istnieją i są stosowane tylko nie wiemy, dziury w obecnie zalecanych poziomach TLS/SSL, a w ślad za nimi zapewne nowsze wersje szyfrowania.

Natomiast VPN, niezależnie od tego, czy jest szyfrowane (SSL VPN) czy nie, jest dodatkową warstwą ukrywania komunikacji. Utajnia same urządzenia (ich adresy), które się ze sobą komunikują.

Spłycając zagadnienie, samo HTTPS ukrywa treści, ale dalej wiadomo, na jaką stronę internetową (o jakich domenach internetowych i adresach URL) wchodzono z danego urządzenia użytkownika, a po stronie serwera dalej wiadomo, skąd pochodzi ruch przychodzący. Przechwytując po stronie serwera wysłany (zaszyfrowany) pakiet danych, nawet jeśli ktoś go nie odczyta, to wie, dokąd został nadany i może tę wiedzę wykorzystywać. VPN umożliwia ukrycie dla osób postronnych również komunikujących się urządzeń. Nie widać połączenia pomiędzy nimi, choć urządzenia same o sobie wiedzą, tylko po drodze łącza są ukryte.

Niestety, o ile HTTPS jest względnie łatwiejsze do zastosowania, bo wystarczy podać (lub wymusić) adres HTTPS (zamiast HTTP), to już do implementacji VPN trzeba konfiguracji (często instalacji jakiegoś dodatkowego) oprogramowania obsługującego VPN po stronie użytkownika. Co o tyle trudniejsze, że nie wystarczy słabiej obeznanym informatycznie osobom wysłać link, tylko trzeba ów VPN ręcznie włączyć na każdym kolejnym urządzeniu końcowym…

Źródła:

*z premedytacją piszę ruter (nie: router), spolszczając wyraz.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *