Безопасно ли вводить пароли на сайтах при использовании VPN на арендованном VPS/VDS?

Question

[Foykon]

1)Собираюсь настроить свой VPN на арендованном сервере VPS/VDS и планирую использовать его для обычного серфинга в интернете. Меня интересует, насколько безопасно вводить пароли и логины на сайтах (всегда с HTTPS) при подключении через такой VPN. Могут ли такие данные быть собраны или перехвачены, если сервер арендован? На что стоит обратить внимание при настройке VPN, чтобы максимально защитить свои важные данные?
2)Также беспокоюсь о безопасности самого ПК, с которого я подключаюсь к VPS/VDS-серверу. Может ли злоумышленник/владелец хоста использовать открытые порты или другие уязвимости на моём ПК для атаки через VPN, чтобы заразить его или украсть данные? Какие меры предосторожности следует принять, чтобы защитить своё устройство при использовании VPN на арендованном сервере?У меня ubuntu 22.04 на пк стоит.

Answer 1

[RavilKR]

1. С https безопасно, могут узнать только sni из tls client hello (youtube.com), пароли никто не увидит
2. Злоумышленник не сможет, если у него нет доступа в ваш vpn. Владелец хоста может попробовать, но вряд ли ему это интересно

Answer 2

[rPman]

https защищает.. но, большинство атак - это атака не на софт или железо, а на человека перед экраном, на простой фишинг попадаются даже опытные (много ли людей ВСЕГДА смотрят на строку адреса?).. да у провайдера vpn мало способов обмануть тут пользователя, но они есть.

Напоминаю, что при установке софта от vpn сервера существует возможность (не факт что ее эксплуатируют но техническая возможность есть) установить на машине (только на нее но не на машины в сети!) корневые сертификаты, которые позволят серверу совершить атаку man-in-the-middle на https протокол и получать к нему доступ не только для чтения но и его модификации... браузеры с этим тоже как то борятся, но и браузер можно подменить или сломать...

p.s. все еще существует софт, в т.ч. периодически слышу про такие проблемы у вендорского предустановленного софта у ноутбуков, которые так или иначе не заботятся о надежности и к примеру не проверяют https/http ссылки (условный ключ -k у curl который заставляет игнорировать подмену сертификата у скачиваемого ресурса) а значит провайдер может атаковать этот уязвимый софт, установить на машину пользователя вредоносный троян и уже с его помощью творить свои черные дела

Comments

[Foykon]

То есть, если я просто сделаю впн на серваке, а сам буду подключаться на своем пк с убунтой, через настройки(то есть зайду в настройки убунты и в настройках сети пропишу данные к серверу-впн), то это будет безопасно(раз у меня убунту 22.04 и я не под root user сижу, то надеюсь всё гуд будет)?

Под безопасностью я имею ввиду, что мне на пк не установится всякая вирусная фигня и мои файлы с пк,пароли и данные сохраненные в браузере никто не украдет(Наверное буду под vpn использовать отдельный браузер). Провайдер у которого я временно возьму сервер, 100 рублей в месяц стоит и он не популярный, стоит быть настороженным.

[rPman]

САМО ничего не установится
использовать https безопасно, пароли не украдут.

p.s. для обычного серфинга в интернете нет никакой необходимости устанавливать vpn

штатный ssh сервер предоставляет socks прокси (включается при подключении ssh клиентом к серверу на твоей vps с ключом -D1080 где 1080 это порт, а ip будет 127.0.0.1, прописываешь его в браузере и все, у тебя работает интернет через vps

[Foykon]

rPman, Спасибо:) Буду vpn-сервер использовать, чтобы навыки получить с сервером работать + обход от замедления ютуба избавлюсь. Где-то на форумах видел, что провайдер хоста может дублировать через свитч то что получаю из интернета(как я понял дублирует на свой экран, то что я вижу в браузере).

Можете посоветовать надежных, безопасных vps/vds провайдеров?

[rPman]

Где-то на форумах видел, что провайдер хоста может дублировать через свитч то что получаю из интернета

это глупость

Можете посоветовать надежных, безопасных vps/vds провайдеров?

нет но могу сказать что определяет провайдера как безопасного:

Помимо чтения сетевого трафика у vpn (не прокси как я выше написал) есть еще проблема, некоторые варианты конфигурации vpn (они не используются но возможны, если ты не изучаешь конфигов этого vpn) предполагают доступ vpn сервера к локальной сети, это не дает такой страшной опасности как чтение https но все равно еще неприятно, дело в том что все, начиная с пользователя и кончая софтом, в ЛОКАЛЬНЫХ сетях не ожидают каких-либо атак изнутри, полагаясь на автоматическую защиту фаервола NAT от роутера (эта та причина по которой ipv6 не развивается, она потребует значительно сложнее интерфейс роутеров или уровень знаний пользователей их настраивающих) и по этому возможна ситуация с успешными атаками на сервисы внутри локальной сети

Можно еще про надежность провайдера поговорить, который имеет возможность подправить настройки и софт, который используешь на vps-ке, делая его поведение неожиданным, но защита от этого обычно дорогая - установка своего железа, с кучей сложностей по настройке (шифрование, виртуализация, не типовые конфиги) и контролю... совершенно не нужно обывателю но упомянуть об этом стоит.

Поэтому - если хочешь совсем уж высокой надежности, то придется попотеть, и настраивать vpn самостоятельно, что в подавляющем большинстве случаев просто избыточно.

Повторяю - для серфинга в интернете используй socks прокси, предоставляемый ssh по умолчанию, любой linux vps уже по умолчанию будет так работать, в худшем потребует включение 1 настройке в конфиге sshd, если это отключено.

Socks прокси односторонняя, (осторожно с webrtc, он работает минуя прокси и позволяет деанонимизировать пользователя, который думает что скрыл свой реальный ip за прокси), ничего серьезного веб сервер сделать с пользователем не сможет по причинам ограниченности протокола. При этом https продолжает работать как следует.

Answer 3

[CityCat4]

Хостер может с Вашим VPN сделать все, что угодно, но в 99% случаев ему это не надо, если только Вы не медийная личность (а там сами понимаете, ради одного такого целый самолет посадили).
Подключение через VPS ничем не отличается для браузера от обычного подключения - пароли так же будут защищаться, хотя замечание от rPman - оно имеет значение :) Но это опять же если Вы медийная личность - ради обычного человека никто так хлопотать не будет...

Comments

[Foykon]

VPS/VDS сервер, который буду арендовать стабильный, но он не популярный и довольно новый, также цена меленькая, беспокоюсь о своих данных на пк. Но так как я на ubuntu 22.04 и для получения прав sudo надо вводить каждый раз пароль, мне бояться незачем?

[Arnowt]

Это вы про Дурова? Так он сам в цветущий сад прилетел за двадцаткой.
Ордер в полете выписали, а это совсем другое дело.

[CityCat4]

Arnowt, Нет, зачем Дуров прилетел во Францию, мы может быть никогда не узнаем. Я про Протасевича, ради которого такую операцию провернули - боевики впору снимать :)