Mezera ve VPN může odhalit skutečnou IP adresu uživatele
Výzkumníci z Perfect Privacy zveřejnili informace o chybě, která umožňuje zjistit skutečnou adresu klienta využívajícího VPN. Momentálně je na ni náchylná většina poskytovatelů VPN. Aby útočník mohl chybu zneužít, musí být splněny tři základní podmínky:
- Musí používat stejného poskytovatele VPN jako oběť.
- Musí znát adresu oběti ve VPN. Získat ji může různými způsoby, např. přes IRC, BitTorrent nebo tak, že oběť navede na stránku pod jeho kontrolou.
- Musí mít nastaveno přesměrování portů. U oběti to není potřeba.
Dál následuje několik relativně jednoduchých kroků zahrnujících směrovací tabulku a přesměrování portů, po jejichž provedení útočník zjistí skutečnou IP adresu oběti. Vzhledem k tomu, že se nejedná o chybu v pravém slova smyslu, ale spíš mezeru v konfiguraci, jsou zranitelná téměř všechna VPN řešení včetně IPSec, OpenVPN nebo PPTP. Situaci lze zabránit přenastavením firewallu na serveru.
Za upozornění děkujeme čtenáři Debian4Ever.
-
Tomáš2 (neregistrovaný) 82.113.62.---
jedinej poskytovatel internetu široko daleko si zase myslí, že vpn je jen pro nelegální činnost a odmítá přestat blogovat porty pro ipsec, těžko se mu poté dá vysvětlovat, že ve firemní prostředí se běžně vpn používá pro propojení zaměstnanců a kanceláří a nemá to naprosto nic společného se schováním identity, ale naopak s jejím přesným potvrzením.
Když jsem před pár dny na tuhle chybu narazil, musel jsem se smát :). Existuje spousta poskytovatelů vpn, které svůj produkt založili na nesmyslech o tom, že kompletně ochrání uživatele.
-
Problem s IPSec moze byt aj tym, ze nepouziva dva klasicke protokoly UDP a TCP, ale AH a ESP. Dodavatel ich softveroveho riesenia napriklad nemusel implementovat NAT helper pre ne alebo sa im to proste neoplati riesit, kedze pocet zakaznikov, ktori to mozu potrebovat sa limitne blizi nule. Dovodov proste moze byt vela a niektore mozu byt velmi konkretne a technickeho charakteru.
VPNky riesime uz vela rokov a presli sme si peklom najprv s PPTP, neskor s IPSec a tak sme si povedali, ze nebudeme to uz viac natahovat a presli sme na OpenVPN cez klasicke TCP a UDP. Mame stovky klientov, ktori vkuse cestuju a teda sa pripajaju z letisk, roznych mobilnych sieti, internetovych kaviarni a podobenych pochybnych lokalit. Riesime to tak, ze mame cluster serverov kde kazdy ma vyhradeny cely rozsah portov od 1 po 4000 na oboch UDP aj TCP a klient sa pokusa pripajat na dlhy zoznam beznych portov na oboch protokoloch. Bol by v tom cert, aby to nakoniec k nam nejako nepreliezlo.
-
Aby som doplnil ukazku, takto vyzera bezny config:
server-poll-timeout 5
remote x.rnd.int.sagevpn.com 3000 udp
remote x.rnd.int.sagevpn.com 69 udp
remote x.rnd.int.sagevpn.com 53 udp
remote x.rnd.int.sagevpn.com 123 udp
remote x.rnd.int.sagevpn.com 3000 tcp
remote x.rnd.int.sagevpn.com 80 tcp
remote x.rnd.int.sagevpn.com 443 tcp
remote x.rnd.int.sagevpn.com 22 tcp
remote x.rnd.int.sagevpn.com 993 tcp
remote x.rnd.int.sagevpn.com 995 tcp
remote x.rnd.int.sagevpn.com 110 tcp
remote x.rnd.int.sagevpn.com 143 tcp
remote-random-hostname
resolv-retry infiniteZatial sa to odmietlo pripojit len z jedneho hotela niekde v USA. Inak to preslo vzdy.
-
- PHP vývojář frontend/ backend
- Specialista logistiky
- pojistný matematik
- Development Team Lead pro ERP systém
- Databázist(k)a
- IT Technik junior - atnivirový SW
-
- Logické funkce v Excel
- Autenticky a po svém
- Začínáme s Sklikem
- Jak si vytvořit a udržet produktivní návyky
- Trello II – Pokročilé funkce
- 76 nejčastěji zaměňovaných slov v angličtině
-
- Specialista logistiky
- pojistný matematik
- Development Team Lead pro ERP systém
- Databázist(k)a
- Delivery Manager neboli Agile Master
- IT Technik junior - atnivirový SW
-
- Jak se stát autoritou
- Logické funkce v Excel
- Začínáme s Sklikem
- Přecházíme na Mac
- Trello II – Pokročilé funkce
- 76 nejčastěji zaměňovaných slov v angličtině
