OpenForum RSS: Атака TunnelVision, позволяющая перенаправить VPN-трафик через манипуляции с DHCP https://www.opennet.ru/openforum/vsluhforumID3/133625.html Вниманию публики предложен метод атаки TunnelVision, позволяющий при наличии доступа к локальной сети или контроля над беспроводной сетью, осуществить перенаправление на свой хост трафика жертвы в обход VPN (вместо отправки через VPN, трафик будет отправлен в открытом виде без туннелирования на систему атакующего). Проблеме подвержены любые VPN-клиенты, не использующие изолированные пространства имён сетевой подсистемы (network namespace) при направлении трафика в туннель или не выставляющие при настройке туннеля правила пакетного фильтра, запрещающие маршрутизацию VPN-трафика через имеющиеся физические сетевые интерфейсы...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61130<br> Атака TunnelVision, позволяющая перенаправить VPN-трафик чер... (EULA) https://www.opennet.ru/openforum/vsluhforumID3/133625.html#149 Fri, 17 May 2024 02:15:07 GMT &gt; клиенты под вирегуард/попенвпн самому собирать тобишь?<br><br>Сервер для начала свой собрать.<br>Кто даст гарантию, что на чужом сервере нет мужика-в-середине?<br>Даже не так. На большинстве чужих серверах, что я видел, кто-то сидит и вклинивается в трафик, подменяя сертификаты на свои "зачем-то".<br> Атака TunnelVision, позволяющая перенаправить VPN-трафик чер... (OpenEcho) https://www.opennet.ru/openforum/vsluhforumID3/133625.html#148 Thu, 16 May 2024 14:19:26 GMT &gt; А что будет если атакующий вот этот центр сертификации - раз...т - <br>&gt; и сертифицирует себя от души на все и вся?<br><br>Всё от установленого уровня секьюрности зависит. Центр сертификации в серьёзных организациях не должен быть вообще онлайн, а на отдельных изолированных, географически распределенных машинах, доступ к приватному ключу по схеме авторизации Шамира, для того, чтобы подписать/отозвать сертификаты админов<br> Атака TunnelVision, позволяющая перенаправить VPN-трафик чер... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/133625.html#147 Thu, 16 May 2024 11:39:13 GMT &gt; права админов должны быть так же легко отзываемыми через то же <br>&gt; центр сетификации в случае когда один админ дал подруге поиграть на <br>&gt; своем компютере и ликнули ключики <br><br>А что будет если атакующий вот этот центр сертификации - раздолбит - и сертифицирует себя от души на все и вся? Ну так, навеяно тем как comodohacker серты на все подряд вплоть до виндусапдейта выписал, вопрос то не теоретический, а после вполне себе практических прецедентов.<br><br> Атака TunnelVision, позволяющая перенаправить VPN-трафик чер... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/133625.html#146 Thu, 16 May 2024 11:38:22 GMT &gt; права админов должны быть так же легко отзываемыми через то же <br>&gt; центр сетификации в случае когда один админ дал подруге поиграть на <br>&gt; своем компютере и ликнули ключики <br><br>А что будет если атакующий вот этот центр сертификации - раз...т - и сертифицирует себя от души на все и вся? Ну так, навеяно тем как комодохакер себе серты на все подряд выписал, вопрос то не теоретический а после вполне себе прецедентов вот именно этсамого :)))<br><br> Атака TunnelVision, позволяющая перенаправить VPN-трафик чер... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/133625.html#145 Thu, 16 May 2024 11:36:51 GMT &gt; Это вы сами себе придумали сценарий и сами его радостно хакнули.<br><br>Вообще-то этот сценарий опробован на практике еще сто лет назад неким Comodohacker'ом. Который раздолбал фирму Diginotar (УЦ SSL такой _БЫЛ_ - уже не с нами) в хламину. Затроянив через АД - тадам - ВСЕ КОМПЫ В ФИРМЕ. И даже суперсекурная фирменная железка от RSA не помогла - он прямо ей и подписал серты на кучу всего. Включая виндусапдейт и прочие интересные вещи. Вы же хотели удобство? Так что процессить сертификаты ручками - ну что вы, как можно. Вот, удобно же, на автомате то.<br><br>...после чего дигинотар и не придумал ничего умнее как заявление на банкротство подавать, что еще УЦ с таким факапом и таким подарком в сети фирмы может то? :)<br><br>И кстати не так давно были прецеденты когда еще пару фирм через AD разнесли в таком же духе, но за их дальнейшей участью я не следил - запоминается только первый прецедент, показываюший что так можно было.<br> Атака TunnelVision, позволяющая перенаправить VPN-трафик чер... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/133625.html#144 Thu, 16 May 2024 10:47:23 GMT &gt; Дифференциальный автомат Schneider Electric EZ9D22640 - 5500 руб, это самый дорогой однофазный <br>&gt; что я нашёл сходу в местных прайсах.<br><br>Ну дык. Вот и жмутся на них.<br><br>&gt; Самые дешманские примерно от 500 руб.<br><br>А ставить китайскую электрику, особенно дешевую - ну такое себе. Как впрочем и российскую.<br><br>&gt; Если для вас 55 евро за свою жизнь или жизнь близких это дорого - ну ок :) <br><br>1 штучку норм - а пачками их расставлять жаба таки поддушивать начнет.<br><br>&gt; (типа хотя бы один то хороший можно купить на всю хату)<br><br>В общем то - да. И довольно глупо это не делать.<br><br>&gt; В нормальных местах к водонагревателю делают изначально отдельную проводку от щитка и <br>&gt; там всегда есть возможность поставить дифф и не страдать фигнёй надеясь <br>&gt; на производителя.<br><br>Это все сильно зависит от того что и где. Просто видел такие водогреи, но с этой штукой только дорогие околотоповые модели конечно.<br><br>&gt; И подозреваю что любой производитель в инструкции по монтажу пишет что подключать <br>&gt; только в розетку после дифф автомата.<br> Атака TunnelVision, позволяющая перенаправить VPN-трафик чер... (нейм) https://www.opennet.ru/openforum/vsluhforumID3/133625.html#143 Thu, 16 May 2024 05:15:55 GMT клиенты под вирегуард/попенвпн самому собирать тобишь?<br> Атака TunnelVision, позволяющая перенаправить VPN-трафик чер... (fi) https://www.opennet.ru/openforum/vsluhforumID3/133625.html#142 Mon, 13 May 2024 10:09:45 GMT &gt; Только это часто ADSL/GPON где линк абонент-провайдер можно сказать физически изолирован <br>&gt; от других абонентов.<br>&gt; В других случаях часто бывает схема VLAN per customer, где опять же <br>&gt; VLAN абонента терминируется провайдером и туда никто попасть не может.<br>&gt; В прочих случаях провайдеры ВСЕГДА настраивают DHCP server screening / DHCP relay <br>&gt; agent, потому что часто глупые абоненты втыкают провод провайдера в LAN <br>&gt; порт своего роутера и через некоторое время все соседи остаются без <br>&gt; инета и начинают доставать тех поддержку провайдера.<br><br>1. "схема VLAN per customer" как раз работает поверх LAN - вот тут и прилетит DHCP routing от провайдера.<br><br>2. можно сказать физически изолирован - как раз от провайдера и может прилететь DHCP routing.<br><br>3. В любом случаи провайдер может сделать DHCP routing - никакие server screening etc. не поможет. <br><br>А что соседей бояться? <br> Атака TunnelVision, позволяющая перенаправить VPN-трафик чер... (EULA) https://www.opennet.ru/openforum/vsluhforumID3/133625.html#141 Mon, 13 May 2024 09:07:12 GMT Только в этой рекламе забывают рассказать, что сервер VPN должен быть свой, а не "общественный" (с клиентом из маркетплейса).<br>