forum.opennet.ru

"Атака TunnelVision, позволяющая перенаправить VPN-трафик через манипуляции с DHCP"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..."	+/–
Сообщение от Ivan_83 (ok), 10-Май-24, 02:04
Походу с понимаем у вас не очень :) С админством тоже, ибо вместо централизованного управления у вас индивидуальный тюнинг каждого хоста. Сомневаюсь что у вас есть представление о том, как блочить WPAD на уровне фаера, особенно если это не ngfw какой нить а условных *tables в линухах. У нормальных админов WPAD блочится и на уровне DHCP и на уровне DNS сервера на роутере. DHCP выдаёт WPAD на роутер, роутер отдаёт там DIRECT. Это 5 строчек, 4 из которых в nginx. В DNS нужно прописывать либо регэкспами либо пачку записей, для этого надо почитать доку и узнать как клиенты перебирают доменные имена в поисках.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Атака TunnelVision, позволяющая перенаправить VPN-трафик через манипуляции с DHCP, opennews, 07-Май-24, 11:31 [смотреть все]

Круто, спасибо за информацию , tcpip, 07-Май-24, 11:31 (1) //
- при наличии доступа к локальной сети перестал дальше читать, лол, КО, 07-Май-24, 12:04 (12) //
  - да пусть даже доступ будет Современные энтерпрайз давно умеют отсекать неавтори, Анониматор, 07-Май-24, 12:20 (21) //
    - Вы только сообщите об этом современным энтерпрайз админам, что бы они всё это на, Аноним, 07-Май-24, 12:52 (28)
  - Я сначала также подумал, но, с другой стороны VPN часто рекламируют как способ о, Анонимус3000, 07-Май-24, 12:42 (25) //
    - В публичных сетях скорее всего пользуешься андроидом, где атака не работает Есл, Аноним, 07-Май-24, 13:37 (33)
    - Только в этой рекламе забывают рассказать, что сервер VPN должен быть свой, а не, EULA, 13-Май-24, 12:07 (141)
      - клиенты под вирегуард попенвпн самому собирать тобишь , нейм, 16-Май-24, 08:15 (143)
        
        Сервер для начала свой собрать Кто даст гарантию, что на чужом сервере нет мужик, EULA, 17-Май-24, 05:15 (149)
  - Это история про провайдеров, когда роутер провайдерский , Аноним, 07-Май-24, 12:55 (29) //
    - Это история про любую локалку со злоумышленном внутри и где комутаторы не фильру, Ivan_83, 07-Май-24, 22:55 (60)
  - А в чем проблема Допустим у тебя есть роутер с впном, есть праводер которому эт, Аноним, 07-Май-24, 21:43 (55) //
    - а ты посмотри на add-default-route для VPN и для DHCP clientв худшем случае, есл, penetrator, 08-Май-24, 05:43 (86)
      - Я обычно не юзаю DHCP - так что на меня этот чит вообще не сработает Но идея пр, Аноним, 08-Май-24, 10:12 (93)
  - А зря, сеть до провайдера - тоже LAN, а адреса он обычно раздает по DHCP , fi, 08-Май-24, 17:35 (102) //
    - Только это часто ADSL GPON где линк абонент-провайдер можно сказать физически из, Ivan_83, 08-Май-24, 22:05 (109)
      - 1 схема VLAN per customer как раз работает поверх LAN - вот тут и прилетит DH, fi, 13-Май-24, 13:09 (142)
Сразу хотелось бы вставить часть комментария с HN They also claim that it affec, Bklrexte, 07-Май-24, 11:31 (2) //
- А у нас вообще запрещены, так, что не страшно https opennet ru 46944-law, Аноним, 07-Май-24, 11:35 (4) //
  - Всегда поражался тупостью местных законовыдумывателей, им там хоть раз в голову , cheburnator9000, 07-Май-24, 12:15 (18) //
    - Тупость это когда от действий страдает придумывающий всё это В данном случае ст, Аноним, 07-Май-24, 13:43 (35)
    - И в чем проблема Вот прикрутили бота-модератора помимо админов и норм на Опенн, Banned, 07-Май-24, 14:12 (38)
    - Просто некоторые мб никогда не взаимодействовали с формальщиной далее чем подпис, Бывалый Смузихлёб, 08-Май-24, 07:44 (87)
- firewall может быть частью ОС, но никак не VPN клиентов , Вирт, 07-Май-24, 11:40 (5) //
  - нет никакой разницы, с т з кода Грубо говоря, на примере линукса, нет особой р, тыквенное латте, 07-Май-24, 12:07 (15)
  - Ну зачем вы такое говорите У касперсокго и нод32 свой фаервол и прекрасно они р, Бум, 10-Май-24, 18:34 (126)
Не использовать DHCP, а юзать статические IP адреса Не вариант , Аноним, 07-Май-24, 11:34 (3) //
- причем в url ах тоже, а еще надо помнить мак шлюза, чтобы арп не подставили, вот, Аноним, 07-Май-24, 12:40 (23)
- 2 чая Если получил контроль над DHCP в локалке - так там до VPN-а можно всё у, 1, 07-Май-24, 13:35 (32) //
  - Вы не поверите, но не нужно получать контроля над DHCP, достаточно запустить сво, Аноним, 07-Май-24, 15:43 (44) //
    - Не поверю Так как у меня в LAN 1 юзверь на 1 VLAN , 1, 07-Май-24, 16:48 (47)
      - и локалка из одного пентиума-3 1999 года , Аноним, 07-Май-24, 17:40 (52)
- Не вариант, когда у тебя больше двух хостов А в современном жилье их даже у стар, Ivan_83, 07-Май-24, 22:57 (61)
- Можно юзать dhcp и игнорировать все получаемые маршруты dns ы с сетевых интерфей, Бум, 10-Май-24, 18:40 (128) //
  - И кстати, метрика у маршрутов с дианмическим назначением гораздо выше низкоприо, Бум, 10-Май-24, 18:47 (130)
Объясните 822 о 822 в 822 о 822 щ 822 у 822 не шарящему в сетях, провай, Аноним, 07-Май-24, 11:41 (6) //
- провайдер не может а чел который там работает может , Аноним, 07-Май-24, 12:17 (19)
- Читать шифрованные пакеты да, дешифровывать их нет и никогда не сможет Замедлят, cheburnator9000, 07-Май-24, 12:19 (20) //
  - дополню - даже если провайдер подделает ваш впн сервер или айпи, то ваш клиент н, Бум, 10-Май-24, 18:37 (127)
- Если ты к впн подключаешься напрямую без роутера или через роутер которым управл, Аноним, 07-Май-24, 14:56 (42)
- В определенных условиях и допущениях, как оказывается, таки может попробовать , Аноним, 07-Май-24, 21:45 (56)
- Чувак, у тебя проблема не техническая а административная Перехват твоего трафика, Ivan_83, 07-Май-24, 22:59 (62) //
  - видимо, Аноним, 08-Май-24, 11:11 (96) //
    - Вообще-то ivan_83 как и я таки - следовали тому совету и локацию сменили И по к, Аноним, 11-Май-24, 06:39 (132)
- Если например это роутер в гостинице и к нему подключился клиент, клиент получае, fidoman, 08-Май-24, 18:22 (103)
Просто отключить DHCP, не , Аноним, 07-Май-24, 11:43 (7) //
- Ты так популярно объяснил почему в моей конфиге эта атака не сработает , Аноним, 07-Май-24, 21:47 (57)
- И бегать настраивать по десяткам девайсов Лучше купите веб смарт свитч и настрой, Ivan_83, 07-Май-24, 23:00 (63) //
  - Да, настроить 1 раз по десятку устройств, и потом не париться о упавшем DHCP-се, Аноним, 08-Май-24, 02:27 (75) //
    - У меня dnsmasq ни разу ни где не падал А вообще, в локалке может быть куча DHCP , Ivan_83, 08-Май-24, 04:23 (80)
      - Зато у меня на OpenWRT падает постоянно Потому что превратили прошивку в раздут, Аноним, 08-Май-24, 11:06 (94)
        
        и при соединении по вайфай, если адрес не задан статически, то на несколько секу, Аноним, 08-Май-24, 11:09 (95)
        Это оффтопик http netlab dhis org wiki software openwrt software openwrt softw, Ivan_83, 08-Май-24, 13:09 (100)
        Ну так сделали эрзац системды - да еще в наихучшем виде, когда jail процесс от, Аноним, 09-Май-24, 19:17 (120)
все современные протоколы VPN используют дэйтаграммы, а не TCP для wg0 эта атака, Аноним, 07-Май-24, 11:51 (9) //
- Это не так работает В ОС есть общая таблица маршрутизации Чем более длинный пр, Ivan_83, 07-Май-24, 23:07 (64) //
  - Спасибо, понятно Значит ффтопку эти все VPNы на основе таблиц маршрутизации в я, Аноним, 08-Май-24, 02:38 (76) //
    - Если у вас сокс5 прокси и впн клиент разные приложения - то будет точно так же к, Ivan_83, 08-Май-24, 04:24 (81)
- внезапно wg кладет болт на таблицу маршрутизации и заворачивает пакеты согласно , wd, 08-Май-24, 04:44 (85)
Я чайник в сетях, поэтому мне не понятно 1 почему 0 имеет меньший приоритет, ч, Аноним, 07-Май-24, 11:54 (10) //
- Не парься, все годные закладки в железе , Аноним, 07-Май-24, 12:06 (14) //
  - Какое удовольствие попариться самому, чтобы попарить закладчиков ммм , Аноним, 07-Май-24, 23:19 (70)
- 1 При выборе маршрута берется наиболее совпадающий маршрут маска 24 означает ч, MEXAHOTABOP, 07-Май-24, 12:10 (17) //
  - Ничего не понял 1 Если 24 приоритетнее, чем 0, то почему при врубании VPN с 0, Аноним, 07-Май-24, 12:37 (22) //
    - Бугага, а конечно, чтобы их блокировать удобнее было, Аноним, 07-Май-24, 12:42 (24)
      - Third world problems , Аноним, 07-Май-24, 12:43 (26)
  - Т е перед тем как выдать ИПшник, ДХЦП еще и скорость мерит Или даже гонка, кто, OpenEcho, 07-Май-24, 23:40 (73)
- Поиск идёт по самому длинному префиксу Самым приоритетным будет 32, потом 31 и, Ivan_83, 07-Май-24, 23:11 (65) //
  - Спасибо за инфу , Аноним, 08-Май-24, 03:01 (77)
- Потому что это все, что не указанно эксплицитли, 1 - это уже более конретней, з, OpenEcho, 07-Май-24, 23:36 (72)
Мощно , Аноним, 07-Май-24, 12:06 (13)
Можно ещё таскать с собой wifi-роутер, который будет подключаться к сети, а сам , Алкоголизм, 07-Май-24, 12:51 (27) //
- Так тебе просто роутер целиком завернут куда не нужно, Аноним, 07-Май-24, 13:39 (34) //
  - Роутер то да, но впн клиент будет за роутером и до него вредные маршруты не дойд, Ivan_83, 07-Май-24, 23:13 (66)
Я вот не понял VPN зло или DHCP , Banned, 07-Май-24, 13:57 (36) //
- ОС которые слепо верят DHCP, Аноним, 07-Май-24, 15:00 (43) //
  - Вы же верите электрикам и сантехникам - они вам базовый сервис организуют Или вы, Ivan_83, 07-Май-24, 23:15 (67) //
    - Ага и службе безопасности верим, которая звонит с левого номера нет , а так вер, Аноним, 08-Май-24, 08:19 (89)
    - А напрасно М ков которые путают фазу и ноль или просто не парятся - в природе, Аноним, 08-Май-24, 22:06 (110)
      - Уже ДАВНО есть дифф автоматы, которые гарантируют что если вы схватитесь за пров, Ivan_83, 08-Май-24, 22:19 (111)
        
        Ну вообще-то проверявшие как это работает на своей тушке нет, сам я под 220 сов, Аноним, 09-Май-24, 18:25 (117)
        
        У нас дифф миним по разу на каждом срабатывал, никто ничего не почуствовал Диф, Ivan_83, 10-Май-24, 01:48 (121)
        
        Хрена вы там неаккуратные Я всего 1 чела видел который на себе тестил, правда, , Аноним, 11-Май-24, 06:47 (133)
        
        Дифференциальный автомат Schneider Electric EZ9D22640 - 5500 руб, это самый доро, Ivan_83, 12-Май-24, 01:08 (138)
        
        Ну дык Вот и жмутся на них А ставить китайскую электрику, особенно дешевую - ну, Аноним, 16-Май-24, 13:47 (144)
        
        Это же только если правильно подключить такой автомат и правильно поставить земл, Аноним, 09-Май-24, 18:43 (118)
        
        Дифф автомату земля не нужна от слова совсем, он срабатывает от РАЗНИЦЫ дифф же, Ivan_83, 10-Май-24, 01:58 (123)
        
        Это тебе только так КАЖЕТСЯ извините, это для исчеричных чудил, которые пока чт, Аноним, 10-Май-24, 18:42 (129)
        
        Да, и утекает оно обычно через тушку человека, который стоит ногами на полу или , Ivan_83, 11-Май-24, 02:30 (131)
        
        Это как раз наименее тупой вариант Иначе остается дофига опасного контура где н, Аноним, 11-Май-24, 07:01 (135)
        
        Дифавтомат таки - не оперирует землей Он ставится между фазой и нулем в разрыв , Аноним, 11-Май-24, 06:59 (134)
А если завесить IPv6 SLAAC или DHCP то та же винда будет считать его и его DNS-с, Tron is Whistling, 07-Май-24, 14:48 (40) //
- да и RA тоже ничего так себе , Tron is Whistling, 07-Май-24, 14:48 (41)
Для икспердов, которые говорят, мол, DHCP это плохо, кто получит доступ к моей л, Аноним, 07-Май-24, 16:00 (46) //
- DCHP 8212 атавизм для легаси сетей Мобильные провайдеры как раз-таки с радос, Аноним, 07-Май-24, 17:21 (48) //
  - Есть ли примеры таких провайдеров в РФ , Oleg, 07-Май-24, 21:08 (54)
  - Чувак, есть DHCPv6, и есть RA Они все ни чуть не лучше DHCPv4, просто там IPv6 , Ivan_83, 07-Май-24, 23:16 (68) //
    - DHCPv6 8212 костыль У RA совершенно другая семантика В частности, RA позвол, Аноним, 08-Май-24, 03:44 (79)
- Это вообще никаким боком к DHCP Источник времени, тем более доверенный, к DCHP , Аноним, 07-Май-24, 17:23 (49) //
  - Почитайте уже какие опции есть в DHCP Там не только список DNS, но NTP, SMTP, IR, Ivan_83, 07-Май-24, 23:18 (69) //
    - В DHCP можно произвольную информацию передавать с кастомными номерами опций, лиш, Аноним, 08-Май-24, 03:43 (78)
      - 1 Клиент в запросе указывает опции которые он хочет Если сервер передаст лишнее, Ivan_83, 08-Май-24, 04:30 (82)
      - И да, админ сети может положить на вас с прибором и просто на фаере завернуть вс, Ivan_83, 08-Май-24, 04:33 (83)
Мда А ещё электрик или просто хуллиган может провести DoS атаку и вырубить автом, Ivan_83, 07-Май-24, 22:53 (59) //
- Теперь ждём от авторов такие новейших открытий как - DoS атака на DHCP сервер дл, Ivan_83, 08-Май-24, 04:35 (84) //
  - Желаю удачи, если на всех рабочих станциях файрволы акцептят только установленны, OpenEcho, 08-Май-24, 13:31 (101) //
    - Зачем нужные фаеры за пределами роутера Это вас никак не защитит В неуправляемо, Ivan_83, 08-Май-24, 21:41 (106)
      - А у вас в локалках полное доверие всем Вот именно для этого локалка и должна быт, OpenEcho, 09-Май-24, 17:28 (115)
        
        Доверие не нужно Я вообще думаю почти полностью отказатся от фаера дома и расшар, Ivan_83, 10-Май-24, 01:55 (122)
    - Это какой такой DNS сервер у вас http https понимает в конфиге , Ivan_83, 08-Май-24, 21:44 (108)
      - http s выше только для понимания о чем wpad и блокать надо не на ДНС а на фа, OpenEcho, 09-Май-24, 17:44 (116)
        
        Походу с понимаем у вас не очень С админством тоже, ибо вместо централизованно , Ivan_83, 10-Май-24, 02:04 (124)
        
        Ну вот на этом пожалуй и закончим, удачи в домашних локалках мистер , OpenEcho, 10-Май-24, 11:37 (125)
        Централизованое админство имеет минус оно видите ли в случае чего очень удобно , Аноним, 11-Май-24, 07:04 (136)
        
        This Секьюрность не должна быть - single point of failures, это многоступенч, OpenEcho, 11-Май-24, 14:16 (137)
        
        А что будет если атакующий вот этот центр сертификации - раз т - и сертифициру, Аноним, 16-Май-24, 14:38 (146)
        
        Всё от установленого уровня секьюрности зависит Центр сертификации в серьёзных , OpenEcho, 16-Май-24, 17:19 (148)
        
        А что будет если атакующий вот этот центр сертификации - раздолбит - и сертифици, Аноним, 16-Май-24, 14:39 (147)
        
        Это вы сами себе придумали сценарий и сами его радостно хакнули , Ivan_83, 12-Май-24, 01:12 (139)
        
        Вообще-то этот сценарий опробован на практике еще сто лет назад неким Comodohack, Аноним, 16-Май-24, 14:36 (145)
- DHCP - костыль Использовали бы IPX и не надо было бы никакого DHCP Опять же без, 1, 08-Май-24, 09:30 (90) //
  - DHCP relay agent, DHCP screening - проблема решена лет 15 как минимум , Ivan_83, 08-Май-24, 13:06 (99)
- Психология виндовс админа и цисковода С этим уже только на пенсию , Аноним, 08-Май-24, 20:43 (104) //
  - У меня длинки вебсмарт только, и венду я не админю уже лет 10 за деньги , Ivan_83, 08-Май-24, 21:43 (107)
Так вроде при использовании VPN соединение должно быть зашифровано и злоумышленн, Аноним, 07-Май-24, 23:26 (71) //
- Соединение между девасом где клиент и хостом где впн сервер - да Но суть в том, , Ivan_83, 08-Май-24, 01:39 (74)
Надо пользоваться Tor over VPN , Аноним, 08-Май-24, 09:46 (91)
Кто-то просто прочитал инструкцию к DHCP-серверу Уровень расследований возрос , Аноним, 08-Май-24, 10:01 (92) //
- 2 чая этому господину Как любили говорить вот и выросло поколение и оно ос, 1, 08-Май-24, 11:17 (97)
Собственно именно поэтому и нужен ip netns - чтобы виртуальный интерфейс был еди, anonymous, 08-Май-24, 13:06 (98) //
- Ну дык в дефолтном неэмспейсе сеть можно вообще выпилить Так всякое фуфло с тел, Аноним, 09-Май-24, 04:08 (112)
Даже имея секурное клиентское устройство и правильную криптографию, можно получи, Аноним, 08-Май-24, 20:55 (105)
А что в списке уязвимых делает wireguard Там нет никаких DHCP, захардкоженные в , Аноним, 09-Май-24, 12:16 (114) //
- А почему нет Вот вы будете ходить через варегард в инет 0 0 0 0 0 , а провайдер, Ivan_83, 12-Май-24, 01:16 (140)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру