VPN a聽HTTPS/SSL

Niekt贸re urz膮dzenia (jak rutery* WiFi albo prywatne chmury obliczeniowe danych = multimedialne serwery plik贸w = NAS) umo偶liwiaj膮 dost臋p do nich z zewn膮trz przez sie膰 internet. W艣r贸d metod zabezpiecze艅 tego dost臋pu cz臋sto jest m.in. szyfrowanie (za pomoc膮 certyfikatu i klucza w protokole komunikacji TLS/SSL) 鈥 albo 鈥 tunelowanie (za pomoc膮 wirtualnej sieci prywatnej VPN, przy czym wsp贸艂praca pomi臋dzy IPv4梅IPv6 w VPN nie jest mo偶liwa). Pomijam niekt贸re inne, odr臋bne zabezpieczenia urz膮dze艅 przed w艂amaniami (oprogramowanie antywirusowe, zapora sieciowa = 艣ciana ogniowa firewall: aplikacyjna lub sprz臋towa; serwery po艣rednicz膮ce PROXY; maskowanie adres贸w IP w NAT). Kto艣 m膮drzejszy i bardziej do艣wiadczony ode mnie, kiedy艣 podpowiedzia艂 mi, 偶e lepsze jest VPN ni偶 HTTPS, ale dopiero teraz potrafi艂em odszuka膰 i troch臋 u艂o偶y膰 sobie to w g艂owie. Czy do艣膰 lub w pe艂ni poprawnie, to zapewne mi si臋 tylko wydaje, ale na ten moment, to musi mi wystarczy膰, co odnotowuj臋 sobie ku pami臋ci.

W skr贸cie (bo moim celem nie jest naukowe ani techniczne uzasadnienie), TLS/SSL jest jakby jedn膮 warstw膮 ukrywania komunikacji. Objawia si臋 np. k艂贸dk膮 (czasami zielon膮 z nazw膮 w艂a艣ciciela) w pasku adresowym przegl膮darki internetowej (np. Mozilla Firefox, Google Chrome, Microsoft Internet Explorer / Edge), a same adresy zaczynaj膮 si臋 od https:// (czyli protoko艂u HTTPS). W przypadku takiego szyfrowania, tylko dane (tre艣膰, informacja, zawarto艣膰 np. tekst i pliki, np. graficzne, PDF 鈥 email, innej strony internetowej) pomi臋dzy dwoma urz膮dzeniami (serwerem a naszym urz膮dzeniem np. laptoptem, smarftonem, tabletem) s膮 szyfrowane. Bez z艂amania kluczy nikt z zewn膮trz nie pozna zawarto艣ci przesy艂anych danych. Nawet je艣li kto艣 pods艂uchuje komputery (w艂ama艂 si臋 do sieci WiFI/LAN/WAN), to musia艂bym wpierw odszyfrowa膰 klucze, co wg obecnej wiedzy zajmuje tak d艂ugo, 偶e w praktyce jest nieop艂acalne. Oczywi艣cie, wszystko zale偶y od d艂ugo艣ci kluczy i algorytm贸w. W przysz艂o艣ci mog膮 si臋 pojawi膰, lub ju偶 istniej膮 i s膮 stosowane tylko nie wiemy, dziury w obecnie zalecanych poziomach TLS/SSL, a w 艣lad za nimi zapewne nowsze wersje szyfrowania.

Natomiast VPN, niezale偶nie od tego, czy jest szyfrowane (SSL VPN) czy nie, jest dodatkow膮 warstw膮 ukrywania komunikacji. Utajnia same urz膮dzenia (ich adresy), kt贸re si臋 ze sob膮 komunikuj膮.

Sp艂ycaj膮c zagadnienie, samo HTTPS ukrywa tre艣ci, ale dalej wiadomo, na jak膮 stron臋 internetow膮 (o jakich domenach internetowych i adresach URL) wchodzono z danego urz膮dzenia u偶ytkownika, a po stronie serwera dalej wiadomo, sk膮d pochodzi ruch przychodz膮cy. Przechwytuj膮c po stronie serwera wys艂any (zaszyfrowany) pakiet danych, nawet je艣li kto艣 go nie odczyta, to wie, dok膮d zosta艂 nadany i mo偶e t臋 wiedz臋 wykorzystywa膰. VPN umo偶liwia ukrycie dla os贸b postronnych r贸wnie偶 komunikuj膮cych si臋 urz膮dze艅. Nie wida膰 po艂膮czenia pomi臋dzy nimi, cho膰 urz膮dzenia same o sobie wiedz膮, tylko po drodze 艂膮cza s膮 ukryte.

Niestety, o ile HTTPS jest wzgl臋dnie 艂atwiejsze do zastosowania, bo wystarczy poda膰 (lub wymusi膰) adres HTTPS (zamiast HTTP), to ju偶 do implementacji VPN trzeba konfiguracji (cz臋sto instalacji jakiego艣 dodatkowego) oprogramowania obs艂uguj膮cego VPN po stronie u偶ytkownika. Co o tyle trudniejsze, 偶e nie wystarczy s艂abiej obeznanym informatycznie osobom wys艂a膰 link, tylko trzeba 贸w VPN r臋cznie w艂膮czy膰 na ka偶dym kolejnym urz膮dzeniu ko艅cowym鈥

殴r贸d艂a:

*z premedytacj膮 pisz臋 ruter (nie: router), spolszczaj膮c wyraz.

1 Komentarz

  1. Bartosz Ka藕mierczak

    Super jest to

Dodaj komentarz

Tw贸j adres e-mail nie zostanie opublikowany. Wymagane pola s膮 oznaczone *