¿Es seguro registrarme en una página web HTTP cuando uso VPN?

tag-icon tag-icon vpn http https
¿Es seguro registrarme en una página web HTTP cuando uso VPN?

Sólo me registro (hago una cuenta/inicio de sesión) enHTTPSpáginas web. Sin embargo, una página web que quería registrar ahora no utiliza HTTPS. Me pregunto si estoy conectado a la VPN de mi empresa, ¿es seguro registrarme en una página web que utiliza soloHTTP?

Respuesta1

La VPN de su empresa NO cifrará los datos de su computadora al sitio web que desea registrar, solo los datos de su computadora al servidor VPN de su empresa.

HTTPS (si se usa correctamente) garantiza que los datos desde su máquina al sitio web estén seguros y que usted no sea víctima de unataque de hombre en el medio.

Entonces. ¿Es seguro? "Tal vez" (pero no tiene nada que ver con su VPN), siempre es posible que le roben la información de su cuenta/contraseña en el camino desde su servidor VPN al sitio web.

Respuesta2

Supongo que le preocupa que los detalles que ingresa en la página se envíen sin cifrar.

La VPN de la empresa asegurará la conexión entre usted y el servidor VPN. El servidor VPN aún tendrá que abrir una conexión no cifrada entre él y la página/servidor HTTP, en lugar de que su computadora abra la conexión.

Tal vez sea ligeramente más seguro, ya que una conexión a Internet corporativa está mejor protegida que la de un consumidor, pero su información aún se envía sin cifrar y aún está sujeta ahombre en el medio.

Respuesta3

Dado que mis comentarios sobre otras respuestas se están volviendo bastante largos, pensé en separarlos:

Es imposible responder si una conexión VPN corporativa ofrece seguridad equivalente en comparación con SSL a un servidor web sin conocer los detalles exactos de la conexión en cuestión, que el OP no ha especificado.

Sin embargo, como referencia general, hay dos escenarios principales a considerar:

1)SI un usuario está utilizando una conexión VPN a una red corporativa para conectarse asitios web públicos no cifrados fuera de la red corporativa, entonces la seguridad ofrecida equivale a acceder directamente al mismo sitio web sin cifrar desde la red corporativa.

Evitará la interceptación de comunicaciones entre su dispositivo y su red corporativa, pero no protegerá contra la interceptación entre su red corporativa y el servidor web público. Su seguridad depende de cuánto confíe en la conexión de su red corporativa al servidor web público.

En cualquier caso serámenos segura que una conexión HTTPS correctamente configurada y directa al servidor web públicodesde su dispositivo cliente.

Sin embargo, este mecanismo lo protegerá contra escuchas ilegales en su conexión local si, por ejemplo, está utilizando un punto de acceso público no cifrado u otro ISP que no sea de confianza.

2)SI un usuario está utilizando una conexión VPN a una red corporativa para conectarse a una red no cifradarecursos en la red corporativadetrás del servidor VPN, o en el propio servidor VPN, entonces está protegiendo la conexión hasta la red de destino.

Esto ofrece una protección que es aproximadamente equivalente a HTTPS para el servidor web en cuestión.

La respuesta de ysdx ilustra bien el primer punto, excepto que omite todo después del servidor HTTP.

Una conexión HTTPS completamente cifrada a un servidor web no garantiza una conexión completamente segura al origen de la página web, como tampoco lo haría una VPN corporativa en el escenario 2.

HTTPS proporciona una garantía de seguridad entre dos puntos finales TCP. VPN proporciona una garantía de seguridad entre dos puntos finales TCP. En ambos casos, los puntos finales son su PC y un servidor en el borde de la red corporativa/interna del otro servidor. Lo que sucede después de ese borde NO está asegurado por ninguno de los métodos.

Mucha gente olvida que el servidor web HTTPS al que se conecta durante una sesión HTTPS, en el caso de muchos sitios web grandes, NO es el servidor del que proviene la página web que está viendo. Las muchas razones por las que esto sucede incluyen:

1) Equilibradores de carga, que a menudo tendrán una conexión de red no cifrada a través de una LAN corporativa a varios servidores de contenido que realmente sirven el contenido de la página web.

2) Proxies inversos, NAT, etc. que reenvían su conexión (nuevamente, sin cifrar) a servidores arbitrarios en la LAN corporativa o incluso a otros sitios web públicos.

3) Servidores de almacenamiento en caché o servicios de protección DDoS como CloudFlare, algunos de los cuales operan en la Internet pública pero reenvían su conexión al servidor de una empresa diferente para entregar el contenido, generalmente a través de una segunda conexión cifrada o VPN.

4) Bases de datos o backends NAS/SAN, donde el servidor web utiliza una conexión no cifrada a otro servidor a través del LNA corporativo para recuperar el contenido del sitio web.

En todos estos casos, la seguridad de su sesión web depende de la seguridad de la LAN corporativa detrás de la "puerta de enlace" HTTPS, exactamente de la misma manera que lo hace la conexión a un servidor corporativo detrás de una VPN corporativa.

Respuesta4

No, usar una VPN no hace que el tráfico VPN sea seguro. Al salir del túnel VPN (entre el servidor VPN y el servidor HTTP), el tráfico (en general) no está cifrado:

                 Unencrypted HTTP here
                          |
                          v
[ HTTP    ]<--------------->[ HTTP ]
[ TCP     ]<--------------->[ TCP  ]
[ IP      ]<->[ IP      ]<->[ IP   ]
[ OpenVPN ]<->[ OpenVPN ]
[ TCP     ]<->[ TCP     ]
[ IP      ]<->[ IP      ]
 Client       VPN server    HTTP server

Por lo tanto, solo es seguro si asume que la ruta entre el servidor VPN y el servidor HTTP es "segura" por alguna razón (es el mismo host, usa una VPN...).

información relacionada