Häufig gestellte Fragen
VPN ゲートウェイに証明書を正しく保存することがなぜそれほど重要なのでしょうか?
証明書は身分証明書のようなもので、相手に送信して、自分が正規の人物であることを示すか、自分の身元を確認するために使用します。ただし、誰でもコンピュータ上に任意のコンテンツで証明書を作成できるため、信頼できるCAが証明書内の情報を署名することで確認することが重要です。これにより、後から証明書が変更されるのを防ぐこともできます。この署名の有効性を検証し、この情報に対してどのCAが責任を負っているかを確認するには、CA証明書が必要です。そうすれば、そのCAを信頼するかどうかを決定できます。
各証明書には秘密鍵が付属しています。これは、自分が証明書の所有者であること、またはこの証明書で身元を示す権限があることを証明するものです。なぜなら、秘密鍵へのアクセスは許可された人物のみが行うことができ、証明書は誰でもアクセスできる場合が多く、しばしばアクセス可能だからです。そのため、どのWebサーバーやOpenVPNゲートウェイの証明書も簡単に取得できます。どちらも接続を試みると自動的に証明書を送信してきますが、秘密鍵なしでは証明書で身元を示すことはできません。
攻撃者が特定のOpenVPNゲートウェイになりすまして、たとえばユーザーからパスワードを取得したい場合、独自のOpenVPNゲートウェイを設定し、被害者のトラフィックをそこにリダイレクトする必要があります。どちらも十分に可能です。しかし、そうすると問題が発生します。正しいゲートウェイとして身元を示す必要があります。クライアントが証明書にゲートウェイアドレスが含まれているかどうかを確認しない場合、ゲートウェイ証明書と同じCAによって署名されたVPNユーザーのユーザー証明書を使用できます。
ゲートウェイ証明書よりもユーザー証明書とその秘密鍵を入手する方がはるかに簡単です。
ゲートウェイ証明書を取得するには、直接ゲートウェイにハッキングする必要があります。ただし、ゲートウェイへの無制限アクセス権がある場合、パスワードを直接ゲートウェイで傍受し、すべてのプライベートネットワークに即座にフルアクセスできるため、証明書は必要ありません。
ゲートウェイは、攻撃を受けにくいように設計されていますが、ユーザーのワークステーションとは対照的です。トロイの木馬を仕込むのははるかに簡単です。さらに簡単なのは、VPNユーザー自身がハッカーとして行動する場合です。有効なユーザー証明書と一致する秘密鍵に定期的にアクセスできるため、他のユーザーのパスワードを取得し、広範なアクセス権を付与される可能性があります。パスワードは多くの場合中央で管理され、同じパスワードが他の企業サービスでも使用されます。
したがって、証明書が有効であり、適切なCAによって署名されているだけでは不十分です。ゲートウェイ証明書が実際にゲートウェイ証明書であり、現在通信しているゲートウェイと一致することを確認する必要があります。それ以外の場合、証明書のセキュリティコンセプト全体が損なわれます。
