Secure Socket Layer (SSL) er en sikkerhetsprotokoll som oftest brukes til å etablere en kryptert kobling mellom en webserver og en nettleser. Denne krypterte lenken sikrer at all data som kommuniseres mellom en webserver og en nettleser forblir sikker og privat. I tillegg bidrar SSL-sertifikater til å forhindre man in the middle-angrep (MitM) ved å sikre at brukere kobler til riktig server.
Når det gjelder virtuelle private nettverk, brukes SSL-kryptering for å gi en sikkert kryptert tunnel mellom VPN-klienter og VPN-servere. Dette, ganske ikke overraskende, er grunnen til at de ofte blir referert til som SSL VPN-er.
Før 2015 brukte alle VPN-er Secure Socket Layer-kryptering. Siden den gang har VPN-er tatt i bruk SSLs etterfølger Transport Layer Security-protokollen (TLS). TLS brukes til å kryptere alle datapakker som går mellom en Internett-tilkoblet enhet og en SSL VPN-server.
En SSL VPN gjør dette ved å tilbyende-til-ende kryptering(E2EE) mellom VPN-klienten og VPN-serveren. Som tilfellet er med den krypterte koblingen mellom en server og en nettleser, sikrer TLS-kryptering at all data som sendes fra en VPN-abonnents enhet til en VPN-server er privat og sikker.
Fordelen med SSL/TLS er at tredjeparter ikke er i stand til å fange opp eller "sniffe" de krypterte dataene. Dette hindrer Internett-leverandører, myndigheter, arbeidsgivere, lokale nettverksadministratorer og nettkriminelle fra å kunne utføre "pakkesniffing" for å få tilgang til det trafikken inneholder. Den beskytter også mot mann i midten (MitM) angrep.
Transport Layer Security (TLS) - den nyeste standarden
Til tross for at den ofte blir referert til som SSL VPN-er, har Secure Socket Layer-kryptering i stor grad blitt erstattet av en sikrere protokoll TLS. Dette skyldes det faktum at gjennom årene har en rekke sårbarheter (PUDDEL,DRUKNE) ble funnet i SSL-protokollen.
Dette førte til slutt til at SSL-protokoller (SSL 2.0 og 3.0) ble avviklet avInternet Engineering Task Force(IETF). Det er av denne grunn at SSL VPN-er (sikre) nå implementerer TLS. SSL kan ikke lenger stole på for å sikre datasikkerhet og personvern.
TLS stopper med suksess avlytting og tukling ved å sikre dataintegritet mellom VPN-klientprogramvaren og VPN-serveren.
Bedriftsbruk
Bedrifter bruker ofte SSL VPN-teknologi for å tillate sikre fjerntilgang VPN-tilkoblinger fra en nettleser. Dette gjør det mulig for ansatte som jobber eksternt for å få sikker tilgang til bedriftens ressurser og datasystemer hjemmefra eller på reise.
E2EE levert av en bedrifts SSL/TLS VPN sikrer den ansattes eksterne internettøkt. Dette holder all bedriftsdata sikret mot ondsinnet avlytting og bedriftsspionasje.
Forbruker VPN-bruk
Forbruker-VPN-er tilbyr en tjeneste til enkeltpersoner som ønsker å sikre sine personlige data på nettet. Kommersielle VPN-er tillater også folk å skjule sin virkelige IP-adresse – for å late som om de befinner seg på et utvalg av avsidesliggende steder rundt om i verden. Dette kallesgeo-spoofing.
En VPN beskytter brukerens personvern ved å hindre alle tredjeparter fra å kunne snoke på trafikken deres. Denne typen VPN brukes av hundretusenvis av mennesker over hele verden for å stoppe Internett-leverandører, myndigheter, utleiere, universiteter – og andre lokale nettverksadministratorer – fra å spore dem på nettet.
En ting som er verdt å huske på er at i motsetning til en bedrifts SSL VPN, gir ikke en forbruker-VPN E2EE. Dette er fordi VPN-leverandøren dekrypterer dataene før de sender dem videre til sin endelige destinasjon (internett).
SSL-kryptering er en viktig del av den markedsledende VPN-protokollen som for tiden brukes av kommersielle VPN-leverandører. Denne typen VPN-kryptering kalles OpenVPN.
OpenVPN-krypteringsprotokoll
OpenVPN er en åpen kildekode VPN-protokoll utviklet av OpenVPN-prosjektet siden 2001. OpenVPN er en SSL VPN som bruker SSL/TLS for nøkkelutveksling. Den er mye avhengig avOpenSSLbibliotek,samt TLS-protokollen.
OpenVPN-kryptering kan betraktes som sikker fordi den implementerer sikker TLS for nøkkelutveksling (på kontrollkanalen). I tillegg kan OpenVPN kjøres med ekstra sikkerhets- og kontrollfunksjoner.
OpenVPN har vært gjenstand for to uavhengige revisjoner – noe som betyr at det kan stoles på (så lenge det er implementert i henhold til de siste godkjente standardene).
Hvorfor OpenVPN?
Fordelen med OpenVPN er at den er ekstremt tilpasningsdyktig; som muliggjør portabilitet på tvers av flere plattformer og prosessorarkitekturer. I tillegg er den enkel å konfigurere og er kompatibel med både NAT og dynamiske adresser.
Dessuten kan OpenVPN konfigureres til å fungere ved hjelp avOverføringskontrollprotokoll(TCP), ellerBrukerdatagramprotokoll(UDP).
Hvorfor SSL/TLS?
TLS-håndtrykket på kontrollkanalen beskytter datakanalen ved å oppdage endringer og sikre at datakonfidensialitet er på plass. OpenVPN UDP og TCP er begge gjenstand for sårbarheter på transportlaget uten TLS-kryptering. Dette er grunnen til at SSL/TLS-håndtrykket er en så integrert komponent i protokollen.
I utgangspunktet gjør SSL 3 ting:
1. Den sørger for at du kobler til VPN-serveren du tror du kobler til (certs).
2. Den utfører en kryptert nøkkelutveksling for å opprette en sikker tilkobling (RSA)
3. Den omslutter alle data i en kryptert tunnel
Hvorfor er OpenVPN sikkert hvis SSL er utdatert?
OpenVPN inneholder en åpen kildekode-implementering av SSL- og TLS-protokollene, som lar OpenVPN bruke alle chifferene som er tilgjengelige i OpenSSL-pakken. Secure OpenVPN bruker TLS på kontrollkanalen, ikke de utdaterte SSL-protokollene. I tillegg autentiserer OpenVPN pakker ved hjelp av HMAC for ekstra sikkerhet.
Med andre ord, OpenVPN er ikke nødvendigvis sikker som standard. Snarere er det en ekstremt allsidig VPN-protokoll som kan implementeres på en av en rekke måter - hvorav mange ikke nødvendigvis vil være sikre.
Det er av denne grunn at vi på de.jacyou.com regelmessig tester og vurderer VPN-er – ser nøye på hvordan OpenVPN-protokollen implementeres av hver leverandør. Våre minimumsstandarder for OpenVPN-implementering er:
AES-128-CBC-chiffer, RSA 2048-håndtrykk, med HMAC SHA1 for autorisasjon.
I tillegg, for å være virkelig sikker, anbefaler vi at OpenVPN-kryptering bør implementeres med en flyktig nøkkelutveksling eller "Perfect Forward Secrecy" (PFS). Våre minimumsstandarder for PFS er Diffie Hellman Key Exchange (DHE).
For en fullstendig veiledning om VPN-krypteringvennligst klikk her.
For mer informasjon om hvordan SSL-sertifikater og https fungerer, sjekk utguiden vår her.
Tittelbildekreditt: Funtap/Shutterstock.com
Bildekreditt: Profit_Image/Shutterstock.com, Bakhtiar Zein/Shutterstock.com, WEB-DESIGN/Shutterstock.com