Mezera ve VPN může odhalit skutečnou IP adresu uživatele

Líbí se vám zprávička?
Podpořte redakci

Roman Bořánek 27. 11. 2015

Výzkumníci z Perfect Privacy zveřejnili informace o chybě, která umožňuje zjistit skutečnou adresu klienta využívajícího VPN. Momentálně je na ni náchylná většina poskytovatelů VPN. Aby útočník mohl chybu zneužít, musí být splněny tři základní podmínky:

Musí používat stejného poskytovatele VPN jako oběť.
Musí znát adresu oběti ve VPN. Získat ji může různými způsoby, např. přes IRC, BitTorrent nebo tak, že oběť navede na stránku pod jeho kontrolou.
Musí mít nastaveno přesměrování portů. U oběti to není potřeba.

Dál následuje několik relativně jednoduchých kroků zahrnujících směrovací tabulku a přesměrování portů, po jejichž provedení útočník zjistí skutečnou IP adresu oběti. Vzhledem k tomu, že se nejedná o chybu v pravém slova smyslu, ale spíš mezeru v konfiguraci, jsou zranitelná téměř všechna VPN řešení včetně IPSec, OpenVPN nebo PPTP. Situaci lze zabránit přenastavením firewallu na serveru.

Za upozornění děkujeme čtenáři Debian4Ever.

Našli jste v článku chybu?

27. 11. 2015 14:14

Požitkář 10

... třeba kolegové v práci, protože společný poskytovatel VPN pro více podniků není zase až tak obvyklá záležitost, že? ;-)
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 11. 2015 17:08

gnat (neregistrovaný) ---.dcit.cz

komentář asi bude text názoru
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 11. 2015 17:18

Vladki (neregistrovaný) ---.webstep.net

Na ja, ale divil by ses kolik lidi si mysli ze VPN je anonymizacni a bezpecnostni nastroj, ktery vyresi vsechno. Tor, firewall a antivir v jednom.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 11. 2015 11:01

Tomáš2 (neregistrovaný) 82.113.62.---

jedinej poskytovatel internetu široko daleko si zase myslí, že vpn je jen pro nelegální činnost a odmítá přestat blogovat porty pro ipsec, těžko se mu poté dá vysvětlovat, že ve firemní prostředí se běžně vpn používá pro propojení zaměstnanců a kanceláří a nemá to naprosto nic společného se schováním identity, ale naopak s jejím přesným potvrzením.

Když jsem před pár dny na tuhle chybu narazil, musel jsem se smát :). Existuje spousta poskytovatelů vpn, které svůj produkt založili na nesmyslech o tom, že kompletně ochrání uživatele.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
29. 11. 2015 3:47

Drom (neregistrovaný) 46.167.210.---

Klidně dané poskytovatele jmenujte, ať se jim mohou ostatní vyhnout. Je to pěkná ostuda, jestli si firmy s takovými znalostmi říkají poskytovatelé...
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
29. 11. 2015 21:29

Samuel Kupka 83

Problem s IPSec moze byt aj tym, ze nepouziva dva klasicke protokoly UDP a TCP, ale AH a ESP. Dodavatel ich softveroveho riesenia napriklad nemusel implementovat NAT helper pre ne alebo sa im to proste neoplati riesit, kedze pocet zakaznikov, ktori to mozu potrebovat sa limitne blizi nule. Dovodov proste moze byt vela a niektore mozu byt velmi konkretne a technickeho charakteru.

VPNky riesime uz vela rokov a presli sme si peklom najprv s PPTP, neskor s IPSec a tak sme si povedali, ze nebudeme to uz viac natahovat a presli sme na OpenVPN cez klasicke TCP a UDP. Mame stovky klientov, ktori vkuse cestuju a teda sa pripajaju z letisk, roznych mobilnych sieti, internetovych kaviarni a podobenych pochybnych lokalit. Riesime to tak, ze mame cluster serverov kde kazdy ma vyhradeny cely rozsah portov od 1 po 4000 na oboch UDP aj TCP a klient sa pokusa pripajat na dlhy zoznam beznych portov na oboch protokoloch. Bol by v tom cert, aby to nakoniec k nam nejako nepreliezlo.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
29. 11. 2015 21:35

Samuel Kupka 83

Aby som doplnil ukazku, takto vyzera bezny config:
server-poll-timeout 5
remote x.rnd.int.sagevpn.com 3000 udp
remote x.rnd.int.sagevpn.com 69 udp
remote x.rnd.int.sagevpn.com 53 udp
remote x.rnd.int.sagevpn.com 123 udp
remote x.rnd.int.sagevpn.com 3000 tcp
remote x.rnd.int.sagevpn.com 80 tcp
remote x.rnd.int.sagevpn.com 443 tcp
remote x.rnd.int.sagevpn.com 22 tcp
remote x.rnd.int.sagevpn.com 993 tcp
remote x.rnd.int.sagevpn.com 995 tcp
remote x.rnd.int.sagevpn.com 110 tcp
remote x.rnd.int.sagevpn.com 143 tcp
remote-random-hostname
resolv-retry infinite

Zatial sa to odmietlo pripojit len z jedneho hotela niekde v USA. Inak to preslo vzdy.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
30. 11. 2015 9:55

Ondřej Caletka 97
Zlatý podporovatel

Zajímavé, že vám v tom výčtu chybí standardní číslo portu 1194 :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
30. 11. 2015 11:14

beather 10

a proč by tam mělo být? :-) my taky nepoužíváme na žádném serveru default port
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 11. 2015 10:16

hopasoft (neregistrovaný) ---.146.broadband13.iol.cz

Presne jsi to trefil
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
1. 12. 2015 0:20

Petr Ježek (neregistrovaný) 93.99.228.---

Nebo OpenVPN?

Zasílat nově přidané názory e-mailem