forum.opennet.ru

"Атака TunnelVision, позволяющая перенаправить VPN-трафик через манипуляции с DHCP"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Ссылки "<<" и ">>" открывают первые и последние 10 сообщений.

. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."	+1 +/–
Сообщение от Ivan_83 (ok), 07-Май-24, 23:07
Это не так работает :) В ОС есть общая таблица маршрутизации. Чем более длинный префикс - тем более приоритетный маршрут. Вот у вас локалка до роутера 192.168.1.0/24, и роутер выдал вам дефолтный 0.0.0.0/0 через себя в инет. Вы запустили впн клиента и он условно добавил маршрут до своего 1.2.3.4/32 через роутер, потом удалил 0.0.0.0/0 через роутер и добавил 0.0.0.0/0 через роутер на том конце впн туннеля. При этом вы всё ещё можете ходить по 192.168.1.0/24 потому что оно более приоритетно. И это правильное поведение. Бывают варианты когда есть галочка типа "блокировать весь траффик мимо впн туннеля", вот она должна добавлять фаервольные правила для фильтрации всего что мимо тунеля. Есть ещё отдельная тема с name spaces в линухе и routing tables во фре. В обоих случаях есть возможность назначить отдельным приложениям свои особенные таблицы маршрутизации. На практике я бы сказал что это специфичная фича и лично я стараюсь такого избегать.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Атака TunnelVision, позволяющая перенаправить VPN-трафик через манипуляции с DHCP, opennews, 07-Май-24, 11:31 [смотреть все]

Круто, спасибо за информацию , tcpip, 07-Май-24, 11:31 (1) //
- при наличии доступа к локальной сети перестал дальше читать, лол, КО, 07-Май-24, 12:04 (12) //
  - да пусть даже доступ будет Современные энтерпрайз давно умеют отсекать неавтори, Анониматор, 07-Май-24, 12:20 (21) //
    - Вы только сообщите об этом современным энтерпрайз админам, что бы они всё это на, Аноним, 07-Май-24, 12:52 (28)
  - Я сначала также подумал, но, с другой стороны VPN часто рекламируют как способ о, Анонимус3000, 07-Май-24, 12:42 (25) //
    - В публичных сетях скорее всего пользуешься андроидом, где атака не работает Есл, Аноним, 07-Май-24, 13:37 (33)
    - Только в этой рекламе забывают рассказать, что сервер VPN должен быть свой, а не, EULA, 13-Май-24, 12:07 (141)
      - клиенты под вирегуард попенвпн самому собирать тобишь , нейм, 16-Май-24, 08:15 (143)
        
        Сервер для начала свой собрать Кто даст гарантию, что на чужом сервере нет мужик, EULA, 17-Май-24, 05:15 (149)
  - Это история про провайдеров, когда роутер провайдерский , Аноним, 07-Май-24, 12:55 (29) //
    - Это история про любую локалку со злоумышленном внутри и где комутаторы не фильру, Ivan_83, 07-Май-24, 22:55 (60)
  - А в чем проблема Допустим у тебя есть роутер с впном, есть праводер которому эт, Аноним, 07-Май-24, 21:43 (55) //
    - а ты посмотри на add-default-route для VPN и для DHCP clientв худшем случае, есл, penetrator, 08-Май-24, 05:43 (86)
      - Я обычно не юзаю DHCP - так что на меня этот чит вообще не сработает Но идея пр, Аноним, 08-Май-24, 10:12 (93)
  - А зря, сеть до провайдера - тоже LAN, а адреса он обычно раздает по DHCP , fi, 08-Май-24, 17:35 (102) //
    - Только это часто ADSL GPON где линк абонент-провайдер можно сказать физически из, Ivan_83, 08-Май-24, 22:05 (109)
      - 1 схема VLAN per customer как раз работает поверх LAN - вот тут и прилетит DH, fi, 13-Май-24, 13:09 (142)
Сразу хотелось бы вставить часть комментария с HN They also claim that it affec, Bklrexte, 07-Май-24, 11:31 (2) //
- А у нас вообще запрещены, так, что не страшно https opennet ru 46944-law, Аноним, 07-Май-24, 11:35 (4) //
  - Всегда поражался тупостью местных законовыдумывателей, им там хоть раз в голову , cheburnator9000, 07-Май-24, 12:15 (18) //
    - Тупость это когда от действий страдает придумывающий всё это В данном случае ст, Аноним, 07-Май-24, 13:43 (35)
    - И в чем проблема Вот прикрутили бота-модератора помимо админов и норм на Опенн, Banned, 07-Май-24, 14:12 (38)
    - Просто некоторые мб никогда не взаимодействовали с формальщиной далее чем подпис, Бывалый Смузихлёб, 08-Май-24, 07:44 (87)
- firewall может быть частью ОС, но никак не VPN клиентов , Вирт, 07-Май-24, 11:40 (5) //
  - нет никакой разницы, с т з кода Грубо говоря, на примере линукса, нет особой р, тыквенное латте, 07-Май-24, 12:07 (15)
  - Ну зачем вы такое говорите У касперсокго и нод32 свой фаервол и прекрасно они р, Бум, 10-Май-24, 18:34 (126)
Не использовать DHCP, а юзать статические IP адреса Не вариант , Аноним, 07-Май-24, 11:34 (3) //
- причем в url ах тоже, а еще надо помнить мак шлюза, чтобы арп не подставили, вот, Аноним, 07-Май-24, 12:40 (23)
- 2 чая Если получил контроль над DHCP в локалке - так там до VPN-а можно всё у, 1, 07-Май-24, 13:35 (32) //
  - Вы не поверите, но не нужно получать контроля над DHCP, достаточно запустить сво, Аноним, 07-Май-24, 15:43 (44) //
    - Не поверю Так как у меня в LAN 1 юзверь на 1 VLAN , 1, 07-Май-24, 16:48 (47)
      - и локалка из одного пентиума-3 1999 года , Аноним, 07-Май-24, 17:40 (52)
- Не вариант, когда у тебя больше двух хостов А в современном жилье их даже у стар, Ivan_83, 07-Май-24, 22:57 (61)
- Можно юзать dhcp и игнорировать все получаемые маршруты dns ы с сетевых интерфей, Бум, 10-Май-24, 18:40 (128) //
  - И кстати, метрика у маршрутов с дианмическим назначением гораздо выше низкоприо, Бум, 10-Май-24, 18:47 (130)
Объясните 822 о 822 в 822 о 822 щ 822 у 822 не шарящему в сетях, провай, Аноним, 07-Май-24, 11:41 (6) //
- провайдер не может а чел который там работает может , Аноним, 07-Май-24, 12:17 (19)
- Читать шифрованные пакеты да, дешифровывать их нет и никогда не сможет Замедлят, cheburnator9000, 07-Май-24, 12:19 (20) //
  - дополню - даже если провайдер подделает ваш впн сервер или айпи, то ваш клиент н, Бум, 10-Май-24, 18:37 (127)
- Если ты к впн подключаешься напрямую без роутера или через роутер которым управл, Аноним, 07-Май-24, 14:56 (42)
- В определенных условиях и допущениях, как оказывается, таки может попробовать , Аноним, 07-Май-24, 21:45 (56)
- Чувак, у тебя проблема не техническая а административная Перехват твоего трафика, Ivan_83, 07-Май-24, 22:59 (62) //
  - видимо, Аноним, 08-Май-24, 11:11 (96) //
    - Вообще-то ivan_83 как и я таки - следовали тому совету и локацию сменили И по к, Аноним, 11-Май-24, 06:39 (132)
- Если например это роутер в гостинице и к нему подключился клиент, клиент получае, fidoman, 08-Май-24, 18:22 (103)
Просто отключить DHCP, не , Аноним, 07-Май-24, 11:43 (7) //
- Ты так популярно объяснил почему в моей конфиге эта атака не сработает , Аноним, 07-Май-24, 21:47 (57)
- И бегать настраивать по десяткам девайсов Лучше купите веб смарт свитч и настрой, Ivan_83, 07-Май-24, 23:00 (63) //
  - Да, настроить 1 раз по десятку устройств, и потом не париться о упавшем DHCP-се, Аноним, 08-Май-24, 02:27 (75) //
    - У меня dnsmasq ни разу ни где не падал А вообще, в локалке может быть куча DHCP , Ivan_83, 08-Май-24, 04:23 (80)
      - Зато у меня на OpenWRT падает постоянно Потому что превратили прошивку в раздут, Аноним, 08-Май-24, 11:06 (94)
        
        и при соединении по вайфай, если адрес не задан статически, то на несколько секу, Аноним, 08-Май-24, 11:09 (95)
        Это оффтопик http netlab dhis org wiki software openwrt software openwrt softw, Ivan_83, 08-Май-24, 13:09 (100)
        Ну так сделали эрзац системды - да еще в наихучшем виде, когда jail процесс от, Аноним, 09-Май-24, 19:17 (120)
все современные протоколы VPN используют дэйтаграммы, а не TCP для wg0 эта атака, Аноним, 07-Май-24, 11:51 (9) //
- Это не так работает В ОС есть общая таблица маршрутизации Чем более длинный пр , Ivan_83, 07-Май-24, 23:07 (64) //
  - Спасибо, понятно Значит ффтопку эти все VPNы на основе таблиц маршрутизации в я, Аноним, 08-Май-24, 02:38 (76) //
    - Если у вас сокс5 прокси и впн клиент разные приложения - то будет точно так же к, Ivan_83, 08-Май-24, 04:24 (81)
- внезапно wg кладет болт на таблицу маршрутизации и заворачивает пакеты согласно , wd, 08-Май-24, 04:44 (85)
Я чайник в сетях, поэтому мне не понятно 1 почему 0 имеет меньший приоритет, ч, Аноним, 07-Май-24, 11:54 (10) //
- Не парься, все годные закладки в железе , Аноним, 07-Май-24, 12:06 (14) //
  - Какое удовольствие попариться самому, чтобы попарить закладчиков ммм , Аноним, 07-Май-24, 23:19 (70)
- 1 При выборе маршрута берется наиболее совпадающий маршрут маска 24 означает ч, MEXAHOTABOP, 07-Май-24, 12:10 (17) //
  - Ничего не понял 1 Если 24 приоритетнее, чем 0, то почему при врубании VPN с 0, Аноним, 07-Май-24, 12:37 (22) //
    - Бугага, а конечно, чтобы их блокировать удобнее было, Аноним, 07-Май-24, 12:42 (24)
      - Third world problems , Аноним, 07-Май-24, 12:43 (26)
  - Т е перед тем как выдать ИПшник, ДХЦП еще и скорость мерит Или даже гонка, кто, OpenEcho, 07-Май-24, 23:40 (73)
- Поиск идёт по самому длинному префиксу Самым приоритетным будет 32, потом 31 и, Ivan_83, 07-Май-24, 23:11 (65) //
  - Спасибо за инфу , Аноним, 08-Май-24, 03:01 (77)
- Потому что это все, что не указанно эксплицитли, 1 - это уже более конретней, з, OpenEcho, 07-Май-24, 23:36 (72)
Мощно , Аноним, 07-Май-24, 12:06 (13)
Можно ещё таскать с собой wifi-роутер, который будет подключаться к сети, а сам , Алкоголизм, 07-Май-24, 12:51 (27) //
- Так тебе просто роутер целиком завернут куда не нужно, Аноним, 07-Май-24, 13:39 (34) //
  - Роутер то да, но впн клиент будет за роутером и до него вредные маршруты не дойд, Ivan_83, 07-Май-24, 23:13 (66)
Я вот не понял VPN зло или DHCP , Banned, 07-Май-24, 13:57 (36) //
- ОС которые слепо верят DHCP, Аноним, 07-Май-24, 15:00 (43) //
  - Вы же верите электрикам и сантехникам - они вам базовый сервис организуют Или вы, Ivan_83, 07-Май-24, 23:15 (67) //
    - Ага и службе безопасности верим, которая звонит с левого номера нет , а так вер, Аноним, 08-Май-24, 08:19 (89)
    - А напрасно М ков которые путают фазу и ноль или просто не парятся - в природе, Аноним, 08-Май-24, 22:06 (110)
      - Уже ДАВНО есть дифф автоматы, которые гарантируют что если вы схватитесь за пров, Ivan_83, 08-Май-24, 22:19 (111)
        
        Ну вообще-то проверявшие как это работает на своей тушке нет, сам я под 220 сов, Аноним, 09-Май-24, 18:25 (117)
        
        У нас дифф миним по разу на каждом срабатывал, никто ничего не почуствовал Диф, Ivan_83, 10-Май-24, 01:48 (121)
        
        Хрена вы там неаккуратные Я всего 1 чела видел который на себе тестил, правда, , Аноним, 11-Май-24, 06:47 (133)
        
        Дифференциальный автомат Schneider Electric EZ9D22640 - 5500 руб, это самый доро, Ivan_83, 12-Май-24, 01:08 (138)
        
        Ну дык Вот и жмутся на них А ставить китайскую электрику, особенно дешевую - ну, Аноним, 16-Май-24, 13:47 (144)
        
        Это же только если правильно подключить такой автомат и правильно поставить земл, Аноним, 09-Май-24, 18:43 (118)
        
        Дифф автомату земля не нужна от слова совсем, он срабатывает от РАЗНИЦЫ дифф же, Ivan_83, 10-Май-24, 01:58 (123)
        
        Это тебе только так КАЖЕТСЯ извините, это для исчеричных чудил, которые пока чт, Аноним, 10-Май-24, 18:42 (129)
        
        Да, и утекает оно обычно через тушку человека, который стоит ногами на полу или , Ivan_83, 11-Май-24, 02:30 (131)
        
        Это как раз наименее тупой вариант Иначе остается дофига опасного контура где н, Аноним, 11-Май-24, 07:01 (135)
        
        Дифавтомат таки - не оперирует землей Он ставится между фазой и нулем в разрыв , Аноним, 11-Май-24, 06:59 (134)
А если завесить IPv6 SLAAC или DHCP то та же винда будет считать его и его DNS-с, Tron is Whistling, 07-Май-24, 14:48 (40) //
- да и RA тоже ничего так себе , Tron is Whistling, 07-Май-24, 14:48 (41)
Для икспердов, которые говорят, мол, DHCP это плохо, кто получит доступ к моей л, Аноним, 07-Май-24, 16:00 (46) //
- DCHP 8212 атавизм для легаси сетей Мобильные провайдеры как раз-таки с радос, Аноним, 07-Май-24, 17:21 (48) //
  - Есть ли примеры таких провайдеров в РФ , Oleg, 07-Май-24, 21:08 (54)
  - Чувак, есть DHCPv6, и есть RA Они все ни чуть не лучше DHCPv4, просто там IPv6 , Ivan_83, 07-Май-24, 23:16 (68) //
    - DHCPv6 8212 костыль У RA совершенно другая семантика В частности, RA позвол, Аноним, 08-Май-24, 03:44 (79)
- Это вообще никаким боком к DHCP Источник времени, тем более доверенный, к DCHP , Аноним, 07-Май-24, 17:23 (49) //
  - Почитайте уже какие опции есть в DHCP Там не только список DNS, но NTP, SMTP, IR, Ivan_83, 07-Май-24, 23:18 (69) //
    - В DHCP можно произвольную информацию передавать с кастомными номерами опций, лиш, Аноним, 08-Май-24, 03:43 (78)
      - 1 Клиент в запросе указывает опции которые он хочет Если сервер передаст лишнее, Ivan_83, 08-Май-24, 04:30 (82)
      - И да, админ сети может положить на вас с прибором и просто на фаере завернуть вс, Ivan_83, 08-Май-24, 04:33 (83)
Мда А ещё электрик или просто хуллиган может провести DoS атаку и вырубить автом, Ivan_83, 07-Май-24, 22:53 (59) //
- Теперь ждём от авторов такие новейших открытий как - DoS атака на DHCP сервер дл, Ivan_83, 08-Май-24, 04:35 (84) //
  - Желаю удачи, если на всех рабочих станциях файрволы акцептят только установленны, OpenEcho, 08-Май-24, 13:31 (101) //
    - Зачем нужные фаеры за пределами роутера Это вас никак не защитит В неуправляемо, Ivan_83, 08-Май-24, 21:41 (106)
      - А у вас в локалках полное доверие всем Вот именно для этого локалка и должна быт, OpenEcho, 09-Май-24, 17:28 (115)
        
        Доверие не нужно Я вообще думаю почти полностью отказатся от фаера дома и расшар, Ivan_83, 10-Май-24, 01:55 (122)
    - Это какой такой DNS сервер у вас http https понимает в конфиге , Ivan_83, 08-Май-24, 21:44 (108)
      - http s выше только для понимания о чем wpad и блокать надо не на ДНС а на фа, OpenEcho, 09-Май-24, 17:44 (116)
        
        Походу с понимаем у вас не очень С админством тоже, ибо вместо централизованно, Ivan_83, 10-Май-24, 02:04 (124)
        
        Ну вот на этом пожалуй и закончим, удачи в домашних локалках мистер , OpenEcho, 10-Май-24, 11:37 (125)
        Централизованое админство имеет минус оно видите ли в случае чего очень удобно , Аноним, 11-Май-24, 07:04 (136)
        
        This Секьюрность не должна быть - single point of failures, это многоступенч, OpenEcho, 11-Май-24, 14:16 (137)
        
        А что будет если атакующий вот этот центр сертификации - раз т - и сертифициру, Аноним, 16-Май-24, 14:38 (146)
        
        Всё от установленого уровня секьюрности зависит Центр сертификации в серьёзных , OpenEcho, 16-Май-24, 17:19 (148)
        
        А что будет если атакующий вот этот центр сертификации - раздолбит - и сертифици, Аноним, 16-Май-24, 14:39 (147)
        
        Это вы сами себе придумали сценарий и сами его радостно хакнули , Ivan_83, 12-Май-24, 01:12 (139)
        
        Вообще-то этот сценарий опробован на практике еще сто лет назад неким Comodohack, Аноним, 16-Май-24, 14:36 (145)
- DHCP - костыль Использовали бы IPX и не надо было бы никакого DHCP Опять же без, 1, 08-Май-24, 09:30 (90) //
  - DHCP relay agent, DHCP screening - проблема решена лет 15 как минимум , Ivan_83, 08-Май-24, 13:06 (99)
- Психология виндовс админа и цисковода С этим уже только на пенсию , Аноним, 08-Май-24, 20:43 (104) //
  - У меня длинки вебсмарт только, и венду я не админю уже лет 10 за деньги , Ivan_83, 08-Май-24, 21:43 (107)
Так вроде при использовании VPN соединение должно быть зашифровано и злоумышленн, Аноним, 07-Май-24, 23:26 (71) //
- Соединение между девасом где клиент и хостом где впн сервер - да Но суть в том, , Ivan_83, 08-Май-24, 01:39 (74)
Надо пользоваться Tor over VPN , Аноним, 08-Май-24, 09:46 (91)
Кто-то просто прочитал инструкцию к DHCP-серверу Уровень расследований возрос , Аноним, 08-Май-24, 10:01 (92) //
- 2 чая этому господину Как любили говорить вот и выросло поколение и оно ос, 1, 08-Май-24, 11:17 (97)
Собственно именно поэтому и нужен ip netns - чтобы виртуальный интерфейс был еди, anonymous, 08-Май-24, 13:06 (98) //
- Ну дык в дефолтном неэмспейсе сеть можно вообще выпилить Так всякое фуфло с тел, Аноним, 09-Май-24, 04:08 (112)
Даже имея секурное клиентское устройство и правильную криптографию, можно получи, Аноним, 08-Май-24, 20:55 (105)
А что в списке уязвимых делает wireguard Там нет никаких DHCP, захардкоженные в , Аноним, 09-Май-24, 12:16 (114) //
- А почему нет Вот вы будете ходить через варегард в инет 0 0 0 0 0 , а провайдер, Ivan_83, 12-Май-24, 01:16 (140)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру