ubuntuusers.de

Ich habe gerade gelesen dass ein DHCP-Server dem Client via Option 121 eine classless static route zusenden kann, was u.U. dazu führt, dass der Client nicht über ein VPN routet, sondern an dem VPN vorbei. Das bedeutet: benutzt ein deutscher Journalist in einem Mokauer Hotel sein VPN, dann kann durch Manipulation am DHCP-Server erreicht werden, dass das VPN nicht benutzt wird. Könnte man das nicht leicht dadurch beheben, dass die Einrichtung dieser statischen Route nur mit sudo-Rechten erfolgen kann, so dass der Benutzer einen Passwort-Prompt bekommt, wenn das erfolgen soll? Damit wäre er gewarnt und könnte die statische Route ablehnen.

Das ist nur ein Weg. Das gleiche sollte auch mit dem IPv6-RA incl. Routing Information funktionieren. https://www.rfc-editor.org/rfc/rfc4191

Beim Routing gilt: Die spezifischste Route zuerst. Eine passende Route mit /120 wird gegenüber /64 oder gar /0 bevorzugt. Gilt analog für IPv4.

Diese Routen werden vom DHCP-Client bzw. Kernel (oder NetworkManager) gesetzt. Da gibt es glaub die Option, solche Routen zu ignorieren.

Problem: Sowas standardmäßig zu machen, hat zur Folge, dass dann in allen legitimen Situationen die gewünschten Routen eben nicht mehr automatisch eingetragen werden.

Auf Ebene vom Routing macht man keine Security, sondern auf Ebene der Anwendung. Selbst wenn das Moskauer Hotel sich (rein fiktiv) eine Route ergaunert, z.B. in dem 10.0/9 und 10.128/9 geschickt wird: Jetzt muss er sich auch noch mit dem hoffentlich verwendeten SSL / TLS umschlagen.

VPN steht für "Virtual Private Network", und das Private ist das Missverständnis das viele haben: Es meint nur das du jetzt in einem nicht öffentlichen Bereich des Netzwerks bist, nicht das du irgendwie besonders sicher bist. Gleichzeitig gibt es mittlerweile viele VPN lose Alternativen, z.B. Cloudflare Tunnel, ZScaler, bei welchem der Traffic über einen Mittelsmann geht, da ist es egal welche Routen du jetzt besitzt.

encbladexp schrieb:

VPN steht für "Virtual Private Network", und das Private ist das Missverständnis das viele haben: Es meint nur das du jetzt in einem nicht öffentlichen Bereich des Netzwerks bist, nicht das du irgendwie besonders sicher bist.

Nichtmal das ist ein muss. Das kann ebenfalls ein öffentlich gerouteter Bereich sein, bei IPv6 eh Standard.

Wer Sicherheit will, sollte IPsec im Transportmodus mit dem Ziel machen und hierbei das Zertifikat pinnen. Dann sind solche Angriffe nicht mehr möglich.

DJKUhpisse schrieb:

Wer Sicherheit will, sollte IPsec im Transportmodus mit dem Ziel machen und hierbei das Zertifikat pinnen. Dann sind solche Angriffe nicht mehr möglich.

Leider hat es IPSec, insbesondere der Transport Mode, aufgrund der Komplexität nie wirklich zum Durchbruch geschafft. Ja IPSec wird gerne für VPNs verwendet, aber wer damit schon mal gearbeitet hat hasst es nur noch Abgrundtief.

Ich wollte das auf nem Cisco-Router einrichten, bin aber dann doch bei ocserv auf Linux gelandet.

encbladexp schrieb:

Auf Ebene vom Routing macht man keine Security, sondern auf Ebene der Anwendung. Selbst wenn das Moskauer Hotel sich (rein fiktiv) eine Route ergaunert, z.B. in dem 10.0/9 und 10.128/9 geschickt wird: Jetzt muss er sich auch noch mit dem hoffentlich verwendeten SSL / TLS umschlagen.

Es geht den Angreifern in Moskau aber nicht um die Inhalte, die der deutsche Journalist verschickt, sondern sie sammeln die Zielserver, die er aufruft (Mailserver, Webseiten usw.)

Wenn man das Verhindern will, muss man halt das Routing manuell konfigurieren.

DJKUhpisse schrieb:

Wenn man das Verhindern will, muss man halt das Routing manuell konfigurieren.

Und wie macht man das?

Im NetworkManager das automatische Setzen der Routen abstellen und dann manuell dort die Routen eintragen. Ist halt nervig.

jms3000 schrieb:

...sondern sie sammeln die Zielserver, die er aufruft (Mailserver, Webseiten usw.)

Entweder sind diese hinter dem VPN, dann ist das nur bedingt ein Problem, oder die sind öffentlich, dann müssen die so oder so geschützt sein um ein Leben im Internet zu überstehen.

encbladexp schrieb:

jms3000 schrieb:

...sondern sie sammeln die Zielserver, die er aufruft (Mailserver, Webseiten usw.)

Entweder sind diese hinter dem VPN, dann ist das nur bedingt ein Problem, oder die sind öffentlich, dann müssen die so oder so geschützt sein um ein Leben im Internet zu überstehen.

Manchmal ist das so, man will dann aber ggf. gegenüber dem Netzwerkbetreiber oder ISP verheimlichen, mit wem man so kommuniziert. z.B. Schmuddelkram im Geschäft, politisch unerwünschte Websites usw.

Dafür gibt es dann gesichertes DNS, z.B. DoH und diverse andere DNS Varianten die den Traffic verschlüsseln.

Das hilft dagegen nicht, weil das nur DNS betrifft, aber nicht die TCP/UDP-Verbindung zum eigentlichen Server. Welcher DNS-Server eingesetzt wird ist ne weitere Sache, die Probleme bereiten und missbraucht werden könnte.

In China sind einige westliche Dienste gesperrt durch eine Firewall der Regierung. Benutzt man aber VPN, kann man diese Dienste trotzdem nutzen. Wenn jetzt die Router in den Hotels aber eine statische Route schicken, kann man verhindern dass die Gäste VPN nutzen können.