Skip to main content
Bir sertifikanın VPN ağ geçidine doğru şekilde kayde... - KH2112

Häufig gestellte Fragen

Bir sertifikanın VPN ağ geçidine doğru şekilde kaydedilmesi neden bu kadar önemlidir?
 
Bir sertifika bir kimlik belgesi gibidir; yetkili olduğunuzu belirtmek veya kimliğinizi doğrulamak için karşı tarafa gönderirsiniz. Ancak herkes bilgisayarı üzerinde herhangi bir içerikle bir sertifika oluşturabildiğinden, güvenilir bir CA'nın sertifikadaki bilgileri onaylaması ve sertifikayı imzalaması önemlidir. Bu ayrıca sertifikanın daha sonra değiştirilmesini de önler. CA sertifikası yalnızca bu imzanın geçerliliğini daha sonra kontrol edebilmek ve bu bilgilere hangi CA'nın sahip olduğunu görebilmek için gereklidir, böylece bu CA'ya güvenip güvenmeyeceğime karar verebilirim. Her sertifikanın bir özel anahtarı vardır. Bu, sertifikanın sahibi olduğunuzu veya bu sertifika ile kendinizi tanımlamaya yetkili olduğunuzu kanıtlar, çünkü yalnızca yetkili kişilerin özel anahtara erişmesine izin verilirken, sertifika herkes tarafından erişilebilir ve genellikle de öyledir. Böylece herhangi bir web sunucusunun veya OpenVPN ağ geçidinin sertifikasını kolayca alabilirim, çünkü ikisi de bana bağlanmaya çalıştığımda sertifikayı gönderir, ancak özel anahtar olmadan sertifika ile kendimi tanımlayamam. Bir saldırgan belirli bir OpenVPN ağ geçidi gibi davranmak isterse, örneğin kullanıcıların parolalarını almak için kendi OpenVPN ağ geçidini kurması ve kurbanının veri trafiğini oraya yönlendirmesi gerekir; ikisi de oldukça mümkündür. Ancak o zaman bir sorunu olur: kendisini doğru ağ geçidi olarak da tanımlaması gerekir. Ancak istemci, ağ geçidi adresinin sertifikada olup olmadığını kontrol etmezse, bunun yerine bir VPN kullanıcısının kullanıcı sertifikasını kullanabilir, çünkü bu da ağ geçidi sertifikasıyla aynı CA tarafından imzalanmıştır. Ağ geçidi sertifikasından ziyade bir kullanıcı sertifikası ve özel anahtarını almak çok daha kolaydır. Ağ geçidi sertifikasını elde etmek için doğrudan ağ geçidine girmelisiniz, ancak ağ geçidine sınırsız erişimim varsa, artık sertifikaya ihtiyacım yoktur, çünkü o zaman parolaları doğrudan ağ geçidinde yakalayabilir ve hemen arkasındaki tüm özel ağlara tam erişime sahip olabilirim. Ağ geçitleri doğal olarak saldırıya uğraması zor olacak şekilde tasarlanmıştır; bu ise kullanıcıların iş bilgisayarlarıyla çelişir, bunlara bir trojan yerleştirmek çok daha kolaydır. Ve bir VPN kullanıcısı kendisi bir hacker gibi davranmak isterse daha da kolaydır, çünkü geçerli bir kullanıcı sertifikasına ve eşleşen özel anahtara düzenli olarak erişimi vardır ve böylece diğer kullanıcıların parolalarını elde edebilir; bu da ona geniş erişim hakları verebilir. Parolalar genellikle merkezi olarak yönetilir ve aynı parola diğer şirket hizmetleri için de kullanılır. Bu nedenle, bir sertifikanın geçerli olması ve uygun CA tarafından imzalanması yeterli değildir; ağ geçidi sertifikasının gerçekten ağ geçidi sertifikası olduğundan ve şu anda konuştuğunuz ağ geçidine karşılık geldiğinden emin olmak da gerekir; aksi takdirde tüm sertifika güvenlik konsepti baltalanır.
Datenschutz-Einstellungen