Forum » Informacijska varnost » Tailscale - varnostni pomisleki?
Tailscale - varnostni pomisleki?
Senzor ::
Gledam tole: https://tailscale.com/
Nekakšen decenteraliziran VPN, ki omogoča povezovanje client-to-client brez klasičnega VPN serverja. Kakor razumem iz opisa delovanja, vsak povezan client generira zasebni in javni kriptografski ključ. Javni ključ se naloži na koordinacijski strežnik, zasebni vedno ostane na clientu. Ko se želi klient A povezati s klientom B, kontaktira koordijacijski strežnik, ki poveže A in B in omogoči izmenjavo javnih ključev. Nato se ustvari WireGuard tunel med A in B. Do tukaj vse jasno.
Če si vse skupaj prav predstavljam, je tunel med A in B, ko je enkrat vzpostavljen, varen, kolikor je varen WireGuard, saj tukaj ne gre potem nič več preko koordinacijskega strežnika. Drži?
Druga stvar: kaj ponudniku (ali recimo tričrkovni agenciji) preprečuje, da na koordinacijski strežnik naloži še en (skriti, uporabniku ne prikazan) ključ in s svojo napravo izvaja MITM?
Stvar mi je v osnovi zanimiva, ker omogoča VPN brez posredovanja portov, tudi če je naprava za CG-NATom. Po drugi strani pa je vse odvisno od tega, koliko zaupam ponudniku? Če je edino, kar ponudniku preprečuje MITM, njegova častna beseda, potem stvar nekako ni za resno uporabo. Ali se motim? Nenazadnje lahko za podjetjem stoji tudi kakšna agencija (*kreh* Crypto AG *kreh*).
Nekakšen decenteraliziran VPN, ki omogoča povezovanje client-to-client brez klasičnega VPN serverja. Kakor razumem iz opisa delovanja, vsak povezan client generira zasebni in javni kriptografski ključ. Javni ključ se naloži na koordinacijski strežnik, zasebni vedno ostane na clientu. Ko se želi klient A povezati s klientom B, kontaktira koordijacijski strežnik, ki poveže A in B in omogoči izmenjavo javnih ključev. Nato se ustvari WireGuard tunel med A in B. Do tukaj vse jasno.
Če si vse skupaj prav predstavljam, je tunel med A in B, ko je enkrat vzpostavljen, varen, kolikor je varen WireGuard, saj tukaj ne gre potem nič več preko koordinacijskega strežnika. Drži?
Druga stvar: kaj ponudniku (ali recimo tričrkovni agenciji) preprečuje, da na koordinacijski strežnik naloži še en (skriti, uporabniku ne prikazan) ključ in s svojo napravo izvaja MITM?
Stvar mi je v osnovi zanimiva, ker omogoča VPN brez posredovanja portov, tudi če je naprava za CG-NATom. Po drugi strani pa je vse odvisno od tega, koliko zaupam ponudniku? Če je edino, kar ponudniku preprečuje MITM, njegova častna beseda, potem stvar nekako ni za resno uporabo. Ali se motim? Nenazadnje lahko za podjetjem stoji tudi kakšna agencija (*kreh* Crypto AG *kreh*).
- spremenilo: Senzor ()
uvodV?? ::
Druga stvar: kaj ponudniku (ali recimo tričrkovni agenciji) preprečuje, da na koordinacijski strežnik naloži še en (skriti, uporabniku ne prikazan) ključ in s svojo napravo izvaja MITM?
Tole je zaenkrat še v alpha fazi (feature gated) ampak naslavlja ravno ta problem: https://tailscale.com/blog/tailnet-lock/
Senzor ::
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Wireguard routing problemOddelek: Omrežja in internet | 717 (345) | poweroff |
| » | [Vodič] EdgeRouter X + WireGuardOddelek: Omrežja in internet | 826 (392) | bastadu |
| » | Domači VPN (strani: 1 2 3 )Oddelek: Omrežja in internet | 22423 (8271) | Daniel |
| » | OpenVpn ne deluje več.Oddelek: Omrežja in internet | 2065 (677) | telexdell |
| » | VPN med računalnikomaOddelek: Omrežja in internet | 796 (630) | NeMeTko |