Wie leitet der Anbieter den Datenverkehr weiter, ohne meine IP-Adresse offenzulegen, aber auch ohne das SSL zu beschädigen.

SSL ist ein Schutz (wie Verschlüsselung) über TCP, auf dem sich befindet oben auf IP. Die zugrunde liegenden Schichten (TCP, IP) können geändert werden, ohne die transportierten Daten zu ändern. Dies bedeutet, dass die Verschlüsselung beibehalten werden kann, obwohl sich Ihre IP-Adresse auf der Netzwerkebene ändert.

Dies ähnelt einer verschlüsselten E-Mail (d. H. PGP oder S / MIME). Es spielt keine Rolle, ob es über mehrere Mailserver transportiert, auf verschiedenen Computern usw. gespeichert wird - der verschlüsselte Teil der Mail selbst und sein innerer Inhalt werden nicht geändert.

... aber Wie behaupten Firewalls der nächsten Generation wie Palo Alto, dass sie eine Deep Packet Inspection für SSL-Verkehr durchführen können, ohne dass die Benutzer dies bemerken?

Sie tun dies nicht. Wenn der innere Inhalt von SSL-Verbindungen analysiert werden muss, führt das DPI-System einen Mann im mittleren "Angriff" aus, dh es ist der Endpunkt der SSL-Verbindung aus Sicht des Servers und entschlüsselt jeglichen Datenverkehr und verschlüsselt ihn erneut, um ihn darzustellen an den Client. Normalerweise führt dies zu einer Sicherheitswarnung für den Benutzer, da das neue Zertifikat für die Verbindung (vom DPI-System erstellt) nicht vertrauenswürdig ist. Dies kann jedoch für den Benutzer transparenter gemacht werden, wenn der Benutzer der DPI-Appliance ausdrücklich vertraut.

Einzelheiten hierzu finden Sie unter Wie funktioniert der SSL-Proxyserver im Unternehmen?, Deep Packet Inspection SSL: Wie DPI-Appliances Zertifikatswarnungen verhindern? oder Ist es für Unternehmen üblich, HTMPS-Verkehr mit MITM durchzuführen?.

Warum können Verwenden Sie den VPN-Anbieter nicht einfach eine ähnliche Box, um sie zu entschlüsseln?

Dies könnte tatsächlich geschehen.

Nur theoretisch müssten Benutzer dem VPN-Anbieter explizit vertrauen, um den SSL-Verkehr ähnlich wie in Unternehmen zu überprüfen. Wenn Sie jedoch beispielsweise die vom VPN-Anbieter bereitgestellte VPN-Software installieren, kann diese Software dem Computer des VPN-Anbieters für das Abfangen von SSL tatsächlich stillschweigend vertrauen, sodass Sie nicht erkennen, dass der Anbieter den verschlüsselten Datenverkehr abhören und sogar ändern kann. Diese unbeaufsichtigte Installation vertrauenswürdiger Zertifizierungsstellen ist genau das, was viele Antivirenprodukte tun, damit sie verschlüsselten Datenverkehr abhören und den Benutzer vor Angriffen schützen, die in verschlüsselten Verbindungen ausgeführt werden.

Theoretisch könnte man herausfinden, dass der Anbieter dies tut Überprüfen Sie dazu die Zertifikatkette für jede SSL-Verbindung und vergleichen Sie sie mit der erwarteten. Oder Sie können sich die lokal vertrauenswürdigen Zertifizierungsstellen ansehen und feststellen, ob eine hinzugefügt wurde. Wenn Sie jedoch Software vom VPN-Anbieter installieren, kann der Anbieter auch Teile Ihres Systems wie den Browser ändern, um die Überprüfung vor Ihnen zu verbergen. Dies ist nicht auf die vom VPN-Anbieter bereitgestellte Software beschränkt. Jede von Ihnen installierte Software kann tatsächlich solche Änderungen vornehmen.

Siehe auch Wie kann ich eine HTTPS-Überprüfung erkennen?. P. >

Die kurze Antwort lautet: Ihr VPN-Anbieter kann alles tun, was Ihr ISP tun kann, wenn Sie kein VPN verwenden.

Dies kann das Unterbrechen von TLS einschließen, wenn Ihr Browser einer Stammzertifizierungsstelle vertraut, die ein Zwischenzertifikat für mittlere Boxen ausgestellt hat. Sie verlagern das Vertrauen, dies nicht zu tun, von Ihrem ISP auf den VPN-Anbieter.

Bei den meisten dieser mittleren Boxen müssen die Benutzer eine neue Stammzertifizierungsstelle installieren. Sie sind davor geschützt, weil Sie wahrscheinlich kein Zertifikat von Ihrem VPN-Anbieter installiert haben. Es gab jedoch einige Appliances, die in der Vergangenheit gültige Browser-vertrauenswürdige Zwischenzertifikate hatten. Ich bin mir nicht sicher, ob es noch welche gibt.

Kann ein VPN-Anbieter meinen SSL-Datenverkehr mitmischen, ohne dass ich es merke?

Diesbezüglich können Sie feststellen, dass er nicht über den privaten Schlüssel der Website verfügt. Wenn Sie dem Zertifikat des VPN-Anbieters in Ihren Browsern vertrauen, müssen Sie natürlich genauer prüfen, welches Zertifikat jeder Standort verwendet, aber Sie können feststellen, ob Sie darauf achten. Browsererweiterungen wie Certificate Patrol können hilfreich sein, wenn Sie die Websites mit und ohne VPN besuchen. Sie werden über Zertifikatänderungen benachrichtigt.

Sollte Google Mail meine tatsächliche IP nicht kennen, wenn der Datenverkehr nur durch den Anbieter getunnelt wird?

Vielleicht; es hängt davon ab, ob. Die ursprüngliche IP-Adresse ist die des VPN-Anbieters. Wenn jedoch Google Mail oder eine andere Website Javascript oder die Skripte einer anderen Sprache an Ihren Browser sendet, die Ihr Browser akzeptiert und ausführt, um Ihre IP-Adresse (oder andere, noch privatere Informationen) zu erfassen, wird diese an die Organisation gesendet - oder an einen Dritten!

Wenn diese Übertragung über ungebrochenes TLS erfolgt, wurden Ihre Informationen nur an die Site weitergegeben, an die sie gesendet wurden, und an alle Personen, mit denen diese Site sie freiwillig oder unfreiwillig teilt.

Wenn diese Übertragung unverschlüsselt war Jeder zwischen Ihnen und ihnen kann es AUCH sehen.

Wenn diese Übertragung mit fehlerhafter Verschlüsselung verschlüsselt wurde, ist sie sehr komplex, liegt jedoch irgendwo zwischen den beiden oben genannten Extremen.

Ich habe über ungültige Zertifikate nachgedacht, wenn die SSL kaputt geht, aber wie behaupten Firewalls der nächsten Generation wie Palo Alto, dass sie eine Deep Packet Inspection für SSL-Verkehr durchführen können, ohne dass die Benutzer es bemerken?

Sie tun dies, weil sie eine Kopie desselben privaten Schlüssels für das Zertifikat haben, das der Webserver selbst verwendet! So wie der Webserver den TLS-Verkehr mit seinem privaten Schlüssel entschlüsselt, entschlüsselt die Appliance seine Kopie des Verkehrs mit dem privaten Schlüssel des Webservers.

Warum kann der VPN-Anbieter nicht einfach einen ähnlichen verwenden? Box zum Entschlüsseln?

Das VPN-Unternehmen, das über eine Kopie des privaten TLS-Schlüssels der Endwebsite verfügt, wäre ein äußerst außergewöhnlicher Umstand, an dem große nationalstaatliche Akteure, außergewöhnliche kriminelle Aktivitäten und / oder die neuesten kritischen Zero-Day-Exploits wie Heartbleed beteiligt sind.

Ich bin etwas neugierig, wie viele Daten ein VPN-Anbieter möglicherweise über mich sammeln könnte.

Mindestens so viel, wie Sie denken, dass Sie es zulassen.

Senden Sie Ihre DNS-Anfragen über das VPN? Sie können das sehen. Wenn nicht, kann Ihr ISP es sehen.

Erlauben Sie HTTP-Verkehr? Sie können das sehen - und während des Transports ändern. Beachten Sie, dass dies auch Datenverkehr von Drittanbietern einschließt.

Sie können definitiv sehen, zu welchen IP-Adressen Sie gehen und welche Datenmuster Sie verschieben. Sie können dies dann mit einer statistisch signifikanten Analyse des Verkehrs vieler Menschen sowie mit absichtlichen Tests und öffentlichen Informationen, die sie sammeln, vergleichen.

• d.h. Sie senden einige zu große Seitenanforderungspakete an https://security.stackexchange.com? Sie senden etwas, das Sie eingegeben haben, an das Stackexchange-Netzwerk von Websites. Eine einfache Korrelation dieser großen Übertragungen mit neuen Fragen und Antworten zeigt sehr schnell Ihren Stackexchange-Benutzernamen.

Erlauben Sie fehlerhafte Verschlüsselungsalgorithmen? Sie können das möglicherweise sehen oder auch nicht.

Sie haben sicherlich keinen Einblick in das, was sie protokollieren, unabhängig davon, was sie beanspruchen (oder müssen abhängig von den Regierungen, die die Kontrolle über jeden beteiligten Server haben, Ansprüche geltend machen) Wenn Ihr VPN-Endpunkt, die Unternehmensleitung oder die Serveradministratoren mit mehreren Unteraufträgen in RepressiveRegimeX enthalten sind, hat RepressiveRegimeX eine große Macht darüber.

Versuchen Sie es zumindest für eine Weile mit Firefox mit dem uMatrix-Plugin (um Ihnen die Zuordnungen zu zeigen, welche Anfragen von Drittanbietern von den von Ihnen besuchten Websites gestellt werden) und mit HTTPS Everywhere, um die Verwendung von HTTP einzuschränken.

Gehen Sie auch in Firefox zu about: config, suchen Sie in tls nach den zulässigen TLS-Versionen und suchen Sie in ssl3 nach den aktivierten Cipher Suites.

Gehen Sie in jedem von Ihnen verwendeten Browser zu SSLLabs und führen Sie einen Client-Test durch, um festzustellen, welche Schwachstellen dieser Browser auf diesem Computer zulässt. Entfernen Sie diese.

Verwenden Sie als erweiterte Option wireshark oder ein anderes Tool, um zu sehen, was tatsächlich über Ihr VPN läuft und was nicht. Möglicherweise können Sie sehen, ob eine tatsächliche TLS-Verbindung hergestellt wird oder nicht, sodass Sie sehen können, welche Verschlüsselungssuite oder welcher Algorithmus ausgehandelt wurde.

• Achten Sie besonders darauf, wohin Ihre DNS-Anforderungen, UDP-Port 53, gehen. Über Ihren VPN-Anbieter oder nicht?

Unzufrieden mit den vorhandenen Antworten, da es unter normalen Umständen einfach Nein ist.

Ein VPN ist nur Ihre Verbindung. Sie können versuchen, SSL zu blockieren oder zu entfernen. Wenn Sie jedoch eine SSL-Verbindung zu einer anderen Site herstellen und eine vertrauenswürdige, nicht beeinträchtigte Zertifikatskette verwenden, werden die Daten zu und von Ihrem Browser von Ihrem VPN-Anbieter verschlüsselt.

Sie können [ungefähr] sehen, wo Sie eine Verbindung herstellen. Sie sehen die IP-Adressen und Ports. Der gesamte Inhalt über TLS (einschließlich Hostanforderungen in HTTP) wird von diesen weg verschlüsselt. Der VPN-Anbieter kann möglicherweise auch sehen, welche DNS-Anforderungen Ihr Browser stellt. Dies zeigt jedoch weniger an, was Sie tun , da Browser beim Durchsuchen Millionen davon abfeuern. Sie können separat verschlüsseltes DNS erhalten, wenn dies ein Problem darstellt.

Die Firewalls von Palo Alto werden entfernt und zurückgetreten. Für einen Benutzer ist dies jedoch nur dann legitim, wenn dies der Fall ist (oder deren Computeranbieter) installierte die Stammzertifikate von Palo Alto. Dies ist sehr weit von einem Standard-Setup entfernt.

SSL und TLS kümmern sich nicht um IP-Adressen. Google Mail muss Ihre tatsächliche IP-Adresse nicht kennen, um zu funktionieren, obwohl sie und andere Dienste möglicherweise interkontinentale Hops (häufiger bei Tor) als verdächtiges Verhalten kennzeichnen und Sie dazu bringen, zu überprüfen, ob Sie es häufiger sind.

Wenn sie den privaten Schlüssel einer Stammzertifizierungsstelle haben, der Ihr Browser vertraut, und ja, können Sie dies erkennen, wenn Sie das Anheften von Zertifikaten verwenden, d. h. Vertrauen Sie der Zertifizierungsstelle nicht, sondern speichern Sie Zertifikate für jeden Standort, zu dem Sie eine Verbindung herstellen.

Die MITM-Situation hier wird nur durch die Verwendung des VPN erschwert. Das VPN verschlüsselt den Datenverkehr zum VPN-Anbieter. Von da an ist der Verkehr genau so, wie er von einem ISP wäre, aber in diesem Fall ist Ihr ISP der Ort, an dem sich Ihr VPN befindet. Ihr VPN-Anbieter verfügt also über alle Informationen, die Ihr ISP erhalten könnte.