Чтоб защитить туннель от взлома, нужно думать как взломщик?

Question

[Даниил]

Назрел у меня недавно вопрос, у нас есть например три туннеля между офисами, один l2tp без профиля с шифрованием, профиль с шифрованием rsa, и IPsec cbc(aes) + hmac(sha1) соответственно, если последний не взломать (тысячу лет?), а второй около 10 лет?, то первый вообще передает данные в открытом виде, не говоря уже о протоколе PPTP, который многие ещё используют, дак вот, мне, чтоб защитить свою сеть от перехвата этого трафика, как нужно защищаться, и как потенциальный взломщик будет красть данные из туннеля, если он в локальной сети(сборщики данных?Wireshark?Kali Linux?), и если он находится удаленно ( будет ломать устройства провайдера? а мои устройства ? а если устройства не ломать то как), хотел бы разобраться в данном вопросе, а не быть белой вороной, спасибо всем кто откликнется и введет в курс дела

Answer 1

[Дмитрий]

Чтобы перехватить unicast, взломщику необходимо иметь доступ к устройству, через которое пройдёт пакет. С вайфаем это гораздо проще, т.к. эфир общий и сообщения "слышны" всём окружающим.

Comments

[Даниил]

но wi-fi можно защитить ведь, чтоб клиенты шли только в интернет и были изолированы друг от друга

[rPman]

С вайфаем это гораздо проще, т.к. эфир общий и сообщения "слышны" всём окружающим

Не так, wifi может быть построен на надежных технологиях с шифрованием, но без пароля (или когда этот пароль всем известен!) возможна атака, т.е. вместо роутера 'провайдера' любой желающий может поставить свой роутер, и с более мощным сигналом атакуемое устройство само подключится.

но и обычные проводные локальные сети, если они не защищены административно и аппаратно, могут быть атакованы, злоумышленник, подключив свой роутер в сеть, может так или иначе заставить думать устройства в сети что он теперь главный и весь трафик пойдет через него

Во всех таких атаках, атакующий каким либо способом подключает свой роутер к настоящему каналу, а атакуемых клиентов - к своему, и получает доступ к трафику клиентов.

[Даниил]

rPman, с трафика клиентов ничего такого страшного нет, а вот если именно с сервера VPN будет тащить данные то это уже другой вопрос

[rPman]

Даниил, не понимаю фразу 'тащить данные с сервера vpn'
я описал механизм предоставления возможности атакующему начинать 'атака по середине', когда злоумышленник может не только читать но и модифицировать не зашифрованный трафик пользователя.

тупой пример атаки, пользователь вбивает в браузер example.com, но злоумышленник подменил dns и перенаправляет на свой веб сервер, который может делать запросы на настоящий (это фишинг) но не включать https, и уже таким образом воровать данные пользователя, который он вводит на этом сайте и подменять например платежные данные (именно поэтому в браузерах настоятельно рекомендую включить принудительный https а http сайты либо запрещать либо выдавать страшные предупреждения)

[Даниил]

на счет фишинга крупные организации и средние используют корпоративный Kaspersky, обучают сотрудника на курсах от Каспера и он конфигурирует инфраструктуру чтоб такого не было, или Kaspersky работает по настроенным фильтрам с завода, я же не затрагиваю тему фишинга и обмана пользователей, я говорю напрямую залезть в сеть и тащить данные Wireshark или Sniffer и уже их расшифровывать