VPN을 사용할 때 HTTP 웹페이지에 등록하는 것이 안전한가요?

tag-icon tag-icon vpn http https
VPN을 사용할 때 HTTP 웹페이지에 등록하는 것이 안전한가요?

나는 단지 등록(계정 만들기/로그인 등)만 합니다.HTTPS웹페이지. 그런데 지금 당장 등록하고 싶었던 웹페이지는 HTTPS를 사용하지 않습니다. 회사 VPN에 연결되어 있는지 궁금합니다. VPN을 사용하는 웹페이지에 등록해도 안전한가요?HTTP?

답변1

귀하의 회사 VPN은 귀하의 컴퓨터에서 귀하가 직접 등록하려는 웹사이트로 전송되는 데이터를 암호화하지 않으며, 귀하의 컴퓨터에서 회사 VPN 서버로 전송되는 데이터만 암호화합니다.

HTTPS(올바르게 사용되는 경우)는 귀하의 컴퓨터에서 웹사이트로 전달되는 데이터가 안전하고 귀하가 다음과 같은 피해를 입지 않도록 보장합니다.중간자 공격.

그래서. 안전 해요? "어쩌면"(그러나 VPN과는 아무런 관련이 없음) VPN 서버에서 웹사이트로 이동하는 도중에 항상 계정/비밀번호 정보를 도난당할 수 있습니다.

답변2

페이지에 입력한 세부 정보가 암호화되지 않은 채 전송되는 것에 대해 걱정하고 계시는 것 같습니다.

회사 VPN은 귀하와 VPN 서버 간의 연결을 보호합니다. VPN 서버는 컴퓨터가 직접 연결을 여는 대신 VPN 서버와 HTTP 페이지/서버 간의 암호화되지 않은 연결을 열어야 합니다.

기업 인터넷 연결은 소비자 연결보다 보안이 더 뛰어나기 때문에 조금 더 안전할 수도 있지만, 귀하의 정보는 여전히 암호화되지 않은 상태로 전송되며 여전히중간자 역할.

답변3

다른 답변에 대한 내 의견이 꽤 길어지는 것을 보고 분리할 것이라고 생각했습니다.

OP가 지정하지 않은 문제의 연결에 대한 정확한 세부 사항을 알지 못한 채 회사 VPN 연결이 웹 서버에 SSL과 동등한 보안을 제공하는지 대답하는 것은 불가능합니다.

그러나 일반적인 참조로 살펴봐야 할 두 가지 주요 시나리오가 있습니다.

1)사용자가 회사 네트워크에 연결하기 위해 VPN 연결을 사용하는 경우기업 네트워크 외부의 암호화되지 않은 공개 웹사이트, 제공되는 보안은 회사 네트워크에서 암호화되지 않은 동일한 웹 사이트에 직접 액세스하는 것과 동일합니다.

이는 귀하의 장치와 회사 네트워크 간의 통신 차단을 방지하지만 회사 네트워크와 공용 웹 서버 간의 통신 차단으로부터 보호하지는 않습니다. 얼마나 안전한지는 회사 네트워크와 공용 웹 서버의 연결을 얼마나 신뢰하는지에 따라 달라집니다.

어쨌든 그럴 것이다.공개 웹 서버에 직접 올바르게 구성된 HTTPS 연결보다 덜 안전합니다.클라이언트 장치에서.

그러나 이 메커니즘은 예를 들어 암호화되지 않은 공용 핫스팟이나 기타 신뢰할 수 없는 ISP를 사용하는 경우 로컬 연결에 대한 도청을 방지합니다.

2)사용자가 암호화되지 않은 네트워크에 연결하기 위해 회사 네트워크에 대한 VPN 연결을 사용하는 경우회사 네트워크의 리소스VPN 서버 뒤 또는 VPN 서버 자체에서 대상 네트워크 자체에 대한 연결을 보호합니다.

이는 문제의 웹 서버에 대한 HTTPS와 거의 동일한 보호 기능을 제공합니다.

ysdx의 답변은 HTTP 서버 이후의 모든 것을 놓친다는 점을 제외하면 첫 번째 요점을 잘 보여줍니다.

웹 서버에 대한 완전히 암호화된 HTTPS 연결은 시나리오 2의 회사 VPN보다 웹 페이지 소스에 대한 완전한 보안을 보장하지 않습니다.

HTTPS는 두 TCP 끝점 간에 보안을 보장합니다. VPN은 두 개의 TCP 끝점 간에 보안을 보장합니다. 두 경우 모두 엔드포인트는 사용자의 PC와 다른 서버의 회사/내부 네트워크 가장자리에 있는 서버입니다. 해당 가장자리 이후에 발생하는 일은 두 가지 방법 모두로 보호되지 않습니다.

많은 사람들은 많은 대규모 웹사이트의 경우 HTTPS 세션 중에 연결하는 HTTPS 웹서버가 현재 보고 있는 웹페이지의 출처 서버가 아니라는 사실을 잊어버립니다. 이런 일이 발생하는 많은 이유는 다음과 같습니다.

1) 로드 밸런서는 회사 LAN을 통해 실제로 웹 페이지의 콘텐츠를 제공하는 다양한 콘텐츠 서버에 암호화되지 않은 네트워크 연결을 갖는 경우가 많습니다.

2) 귀하의 연결을 암호화되지 않은 상태로 기업 LAN 또는 기타 공개 웹사이트에 있는 임의의 서버로 전달하는 역방향 프록시, NAT 등.

3) 캐싱 서버 또는 CloudFlare와 같은 DDoS 보호 서비스. 이들 중 일부는 공용 인터넷에서 작동하지만 실제로 콘텐츠를 제공하기 위해 연결을 다른 회사의 서버로 전달합니다. 일반적으로 두 번째 암호화 연결 또는 VPN을 통해 이루어집니다.

4) 웹 서버가 회사 LNA를 통해 다른 서버에 대한 암호화되지 않은 연결을 사용하여 웹 사이트의 콘텐츠를 검색하는 데이터베이스 또는 NAS/SAN 백엔드.

이러한 모든 경우에 웹 세션의 보안은 기업 VPN 뒤의 기업 서버에 연결하는 것과 똑같은 방식으로 HTTPS "게이트웨이" 뒤의 기업 LAN 보안에 의존합니다.

답변4

아니요, VPN을 사용한다고 해서 VPN 트래픽이 안전해지는 것은 아닙니다. VPN 터널에서 나갈 때(VPN 서버와 HTTP 서버 사이) 트래픽은 (일반적으로) 암호화되지 않습니다.

                 Unencrypted HTTP here
                          |
                          v
[ HTTP    ]<--------------->[ HTTP ]
[ TCP     ]<--------------->[ TCP  ]
[ IP      ]<->[ IP      ]<->[ IP   ]
[ OpenVPN ]<->[ OpenVPN ]
[ TCP     ]<->[ TCP     ]
[ IP      ]<->[ IP      ]
 Client       VPN server    HTTP server

따라서 VPN 서버와 HTTP 서버 사이의 경로가 어떤 이유로 "안전"하다고 가정하는 경우에만 안전합니다(동일한 호스트이고 VPN을 사용합니다…).

관련 정보