Ich registriere mich nur (einen Account anlegen/einloggen) aufHTTPSWebseiten. Eine Webseite, auf der ich mich gerade registrieren wollte, verwendet jedoch kein HTTPS. Ich frage mich, ob es sicher ist, mich auf einer Webseite zu registrieren, die nur HTTPS verwendet, wenn ich mit dem VPN meines Unternehmens verbunden bin.HTTP?
Antwort1
Ihr Firmen-VPN verschlüsselt KEINE Daten von Ihrem Computer zu der Website, auf der Sie sich registrieren möchten, sondern nur die Daten von Ihrem Computer zum VPN-Server Ihres Unternehmens.
HTTPS (bei korrekter Verwendung) stellt sicher, dass die Daten von Ihrem Computer zur Website sicher sind und dass Sie nicht Opfer einesMan-In-The-Middle-Angriff.
Also. Ist es sicher? „Vielleicht“ (hat aber nichts mit Ihrem VPN zu tun), Ihre Konto-/Passwortinformationen könnten immer auf dem Weg von Ihrem VPN-Server zur Website gestohlen werden.
Antwort2
Ich nehme an, Sie befürchten, dass die von Ihnen auf der Seite eingegebenen Daten unverschlüsselt gesendet werden.
Das Firmen-VPN sichert die Verbindung zwischen Ihnen und dem VPN-Server. Der VPN-Server muss weiterhin eine unverschlüsselte Verbindung zwischen sich und der HTTP-Seite/dem HTTP-Server öffnen, anstatt dass Ihr Computer die Verbindung selbst öffnet.
Vielleicht ist es ein klein wenig sicherer, da eine Unternehmens-Internetverbindung besser gesichert ist als eine private, aber Ihre Informationen werden trotzdem unverschlüsselt gesendet und unterliegen weiterhinMan-in-the-Middle-Eingriff.
Antwort3
Da meine Kommentare zu anderen Antworten ziemlich lang werden, dachte ich, ich würde sie aufteilen:
Es ist unmöglich zu beantworten, ob eine VPN-Verbindung eines Unternehmens im Vergleich zu SSL zu einem Webserver die gleiche Sicherheit bietet, ohne die genauen Einzelheiten der betreffenden Verbindung zu kennen, die der OP nicht angegeben hat.
Als allgemeine Referenz sollten jedoch zwei Hauptszenarien betrachtet werden:
1)WENN ein Benutzer eine VPN-Verbindung zu einem Unternehmensnetzwerk nutzt, um eine Verbindung herzustellen zuunverschlüsselte öffentliche Websites außerhalb des Unternehmensnetzwerks, dann ist die gebotene Sicherheit gleichwertig, als würden Sie aus dem Unternehmensnetzwerk direkt auf dieselbe unverschlüsselte Website zugreifen.
Es verhindert das Abfangen von Kommunikationen zwischen Ihrem Gerät und Ihrem Unternehmensnetzwerk, schützt jedoch nicht vor dem Abfangen von Kommunikationen zwischen Ihrem Unternehmensnetzwerk und dem öffentlichen Webserver. Wie sicher es ist, hängt davon ab, wie sehr Sie der Verbindung Ihres Unternehmensnetzwerks mit dem öffentlichen Webserver vertrauen.
Auf jeden Fall wird esweniger sicher als eine richtig konfigurierte HTTPS-Verbindung direkt zum öffentlichen Webservervon Ihrem Client-Gerät.
Dieser Mechanismus schützt jedoch vor dem Abhören Ihrer lokalen Verbindung, wenn Sie beispielsweise einen unverschlüsselten öffentlichen Hotspot oder einen anderen nicht vertrauenswürdigen ISP verwenden.
2)WENN ein Benutzer eine VPN-Verbindung zu einem Unternehmensnetzwerk nutzt, um eine Verbindung zu unverschlüsseltenRessourcen im Unternehmensnetzwerkhinter dem VPN-Server oder auf dem VPN-Server selbst, dann schützt es die Verbindung bis hin zum Zielnetzwerk.
Dies bietet dem betreffenden Webserver etwa den gleichen Schutz wie HTTPS.
Die Antwort von ysdx veranschaulicht den ersten Punkt gut, außer dass alles nach dem HTTP-Server ausgelassen wird.
Eine vollständig verschlüsselte HTTPS-Verbindung zu einem Webserver garantiert ebenso wenig eine vollständige Sicherheit zur Quelle der Webseite wie ein Unternehmens-VPN in Szenario 2.
HTTPS bietet eine Sicherheitsgarantie zwischen zwei TCP-Endpunkten. VPN bietet eine Sicherheitsgarantie zwischen zwei TCP-Endpunkten. In beiden Fällen sind die Endpunkte Ihr PC und ein Server am Rand des Unternehmens-/internen Netzwerks des anderen Servers. Was nach diesem Rand passiert, ist durch keine der beiden Methoden gesichert.
Viele Leute vergessen, dass der HTTPS-Webserver, mit dem Sie während einer HTTPS-Sitzung verbunden sind, bei vielen großen Websites NICHT der Server ist, von dem die Webseite stammt, die Sie gerade aufrufen. Dies kann aus vielen Gründen passieren:
1) Lastenausgleichsmodule, die häufig über ein Unternehmens-LAN eine unverschlüsselte Netzwerkverbindung zu verschiedenen Inhaltsservern haben, die tatsächlich den Inhalt der Webseite bereitstellen.
2) Reverse-Proxys, NATs usw., die Ihre Verbindung – wiederum unverschlüsselt – an beliebige Server im Unternehmens-LAN oder sogar an andere öffentliche Websites weiterleiten.
3) Caching-Server oder DDoS-Schutzdienste wie CloudFlare, von denen einige im öffentlichen Internet betrieben werden, Ihre Verbindung jedoch an den Server eines anderen Unternehmens weiterleiten, um den Inhalt tatsächlich bereitzustellen – normalerweise über eine zweite verschlüsselte Verbindung oder ein VPN.
4) Datenbanken oder NAS/SAN-Backends, bei denen der Webserver über das LNA des Unternehmens eine unverschlüsselte Verbindung zu einem anderen Server verwendet, um den Inhalt für die Website abzurufen.
In all diesen Fällen hängt die Sicherheit Ihrer Websitzung von der Sicherheit des Unternehmens-LAN hinter dem HTTPS-„Gateway“ ab, genauso wie die Verbindung zu einem Unternehmensserver hinter einem Unternehmens-VPN.
Antwort4
Nein, die Verwendung eines VPN macht den VPN-Verkehr nicht sicher. Beim Verlassen des VPN-Tunnels (zwischen dem VPN-Server und dem HTTP-Server) ist der Verkehr (im Allgemeinen) nicht verschlüsselt:
Unencrypted HTTP here
|
v
[ HTTP ]<--------------->[ HTTP ]
[ TCP ]<--------------->[ TCP ]
[ IP ]<->[ IP ]<->[ IP ]
[ OpenVPN ]<->[ OpenVPN ]
[ TCP ]<->[ TCP ]
[ IP ]<->[ IP ]
Client VPN server HTTP server
Es ist also nur sicher, wenn Sie davon ausgehen, dass der Pfad zwischen dem VPN-Server und dem HTTP-Server aus irgendeinem Grund „sicher“ ist (es ist derselbe Host, er verwendet ein VPN …).