The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Атака TunnelVision, позволяющая перенаправить VPN-трафик через манипуляции с DHCP

07.05.2024 11:11

Вниманию публики предложен метод атаки TunnelVision, позволяющий при наличии доступа к локальной сети или контроля над беспроводной сетью, осуществить перенаправление на свой хост трафика жертвы в обход VPN (вместо отправки через VPN, трафик будет отправлен в открытом виде без туннелирования на систему атакующего). Проблеме подвержены любые VPN-клиенты, не использующие изолированные пространства имён сетевой подсистемы (network namespace) при направлении трафика в туннель или не выставляющие при настройке туннеля правила пакетного фильтра, запрещающие маршрутизацию VPN-трафика через имеющиеся физические сетевые интерфейсы.

Суть атаки в том, что атакующий может запустить свой DHCP-сервер и использовать его для передачи клиенту информации для изменения маршрутизации. В частности, атакующий может воспользоваться предоставляемой в протоколе DHCP опцией 121 (RFC-3442, принят в 2002 году), предназначенной для передачи сведений о статических маршрутах, для внесения изменений в таблицу маршрутизации на машине жертвы и направления трафика в обход VPN. Перенаправление осуществляется через выставления серии маршрутов для подсетей с префиксом /1, которые имеют более высокий приоритет, чем применяемый по умолчанию маршрут с префиксом /0 (0.0.0.0/0), соответственно трафик вместо выставленного для VPN виртуального сетевого интерфейса, будет направлен через физический сетевой интерфейс на хост атакующего в локальной сети.

Атака может быть осуществлена в любых операционных системах, поддерживающих 121 опцию DHCP, включая Linux, Windows, iOS и macOS, независимо от используемого протокола VPN (Wireguard, OpenVPN, IPsec) и набора шифров. Платформа Android атаке не подвержена, так как не обрабатывает опцию 121 в DHCP. При этом атака позволяет получить доступ к трафику, но не даёт возможность вклиниться в соединения и определить содержимое, передаваемое с использованием защищённых протоколов уровня приложений, таких как TLS и SSH, например, атакующий не может определить содержимое запросов по HTTPS, но может понять к каким серверам они отправляются.

Для защиты от атаки можно запретить на уровне пакетного фильтра отправку пакетов, адресованных в VPN-интерфейс, через другие сетевые интерфейсы; блокировать DHCP-пакеты с опцией 121; использовать VPN внутри отдельной виртуальной машины (или контейнера), изолированной от внешней сети, или применять специальные режимы настройки туннелей, использующие пространства имён в Linux (network namespace). Для экспериментов с проведением атаки опубликован набор скриптов.

Можно отметить, что идея локального изменения маршрутизации не нова и ранее обычно использовалась в атаках, нацеленных на подмену DNS-сервера. В похожей атаке TunnelCrack, в которой перенаправление трафика осуществлялось через замену шлюза по умолчанию, проблема затрагивала все проверенные VPN-клиенты для iOS, в 87.5% VPN-клиентов для macOS, 66.7% для Windows, 35.7% для Linux и 21.4% для Android. В контексте VPN и DHCP метод также упоминался ранее, например, ему посвящён один из докладов на прошлогодней конференции USENIX 2023 (исследование показало, что 64.6% из 195 протестированных VPN-клиентов подвержены атаке).

Для подстановки маршрутов ранее также предлагалось использовать специально оформленный USB-брелок, симулирующий работу сетевого адаптера, который при подключении к компьютеру при помощи DHCP объявляет себя в качестве шлюза. Кроме того, при наличии контроля за шлюзом (например, при подключении жертвы к контролируемой атакующим беспроводной сети) была разработана техника подстановки пакетов в туннель, воспринимаемых в контексте сетевого интерфейса VPN.

Потоки данных при использовании VPN:

Потоки данных после совершения атаки:



  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Уязвимость, позволяющая вклиниваться в TCP-соединения, осуществляемые через VPN-туннели
  3. OpenNews: Серия атак TunnelCrack, направленных на перехват трафика VPN
  4. OpenNews: Новый вариант атаки NAT slipstreaming, позволяющей отправить запросы на внутренний IP
  5. OpenNews: Атака MacStealer, позволяющая перехватывать трафик в Wi-Fi
  6. OpenNews: Атака на заблокированный ПК через USB
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61130-tunnelvision
Ключевые слова: tunnelvision, vpn, dhcp, attack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (134) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, tcpip (??), 11:31, 07/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Круто, спасибо за информацию.
     
     
  • 2.12, КО (?), 12:04, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +13 +/
    "при наличии доступа к локальной сети"
    перестал дальше читать, лол
     
     
  • 3.21, Анониматор (?), 12:20, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    да пусть даже доступ будет. Современные энтерпрайз давно умеют отсекать неавторизованные DHCP-серверы в локалке на уровне коммутаторов.
     
     
  • 4.28, Аноним (28), 12:52, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +14 +/
    Вы только сообщите об этом современным энтерпрайз админам, что бы они всё это настроили хоть как-то.
     
  • 3.25, Анонимус3000 (?), 12:42, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Я сначала также подумал, но, с другой стороны VPN часто рекламируют как способ обеспечить безопасность в публичных Wi-Fi сетях. И для таких сетей атака как раз возможна
     
     
  • 4.33, Аноним (33), 13:37, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • –6 +/
    В публичных сетях скорее всего пользуешься андроидом, где атака не работает. Если ноут, то правильно для VPN настраивать свою таблицу маршрутизации в ip-route и прибивать к ней клиентов bind-ом.
     
  • 4.141, EULA (?), 12:07, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Только в этой рекламе забывают рассказать, что сервер VPN должен быть свой, а не "общественный" (с клиентом из маркетплейса).
     
     
  • 5.143, нейм (?), 08:15, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    клиенты под вирегуард/попенвпн самому собирать тобишь?
     
     
  • 6.149, EULA (?), 05:15, 17/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > клиенты под вирегуард/попенвпн самому собирать тобишь?

    Сервер для начала свой собрать.
    Кто даст гарантию, что на чужом сервере нет мужика-в-середине?
    Даже не так. На большинстве чужих серверах, что я видел, кто-то сидит и вклинивается в трафик, подменяя сертификаты на свои "зачем-то".

     
  • 3.29, Аноним (29), 12:55, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это история про провайдеров, когда роутер провайдерский.
     
     
  • 4.60, Ivan_83 (ok), 22:55, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это история про любую локалку со злоумышленном внутри и где комутаторы не фильрую сетевой мусор.
     
  • 3.55, Аноним (-), 21:43, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > "при наличии доступа к локальной сети"
    > перестал дальше читать, лол

    А в чем проблема? Допустим у тебя есть роутер с впном, есть праводер которому это все не нравится. Он даст твоему роутеру вон то на WAN - и бай-бай, впн!

    Аналогично при допустим конекте к публичной точке доступа. Даст она тебе это - и твой пафосный впн аннулирован. Ну и не читай дальше, фигли. С корпоративной точкой доступа и проч такая же фигня.

     
     
  • 4.86, penetrator (?), 05:43, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    а ты посмотри на add-default-route для VPN и для DHCP client

    в худшем случае, если что-то не так, ты можешь отключить add-default-route для обоих и прописать статически несколько правил

    к тому же иметь VPN на роутере для цели сокрытия активности и заворачивать ВЕСЬ трафик - сомнительное удовольствие для домашней сетки, не в домашней пусть админы думают зачем им DHCP клиент на пограничном роутере

     
     
  • 5.93, Аноним (-), 10:12, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а ты посмотри на add-default-route для VPN и для DHCP client

    Я обычно не юзаю DHCP - так что на меня этот чит вообще не сработает. Но идея прикольная.

    > к тому же иметь VPN на роутере для цели сокрытия активности и
    > заворачивать ВЕСЬ трафик - сомнительное удовольствие для домашней сетки,

    Напротив. Это как раз наименее тупой вариант.

    >  не в домашней пусть админы думают зачем им DHCP клиент на пограничном роутере

    Угу, так и представляю себе точку доступа в кафешке без DHCP.

     
  • 3.102, fi (ok), 17:35, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А зря, сеть до провайдера - тоже LAN, а адреса он обычно раздает по DHCP.
     
     
  • 4.109, Ivan_83 (ok), 22:05, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Только это часто ADSL/GPON где линк абонент-провайдер можно сказать физически изолирован от других абонентов.
    В других случаях часто бывает схема VLAN per customer, где опять же VLAN абонента терминируется провайдером и туда никто попасть не может.
    В прочих случаях провайдеры ВСЕГДА настраивают DHCP server screening / DHCP relay agent, потому что часто глупые абоненты втыкают провод провайдера в LAN порт своего роутера и через некоторое время все соседи остаются без инета и начинают доставать тех поддержку провайдера.
     
     
  • 5.142, fi (ok), 13:09, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    1 схема VLAN per customer как раз работает поверх LAN - вот тут и прилетит DH... большой текст свёрнут, показать
     

  • 1.2, Bklrexte (ok), 11:31, 07/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сразу хотелось бы вставить часть комментария с HN:
    "They also claim that it affects all VPN clients in the headline, yet so many such clients setup firewall rules to block traffic to/from the physical interface as they acknowledge in the write-up. Most of the VPNs that are claiming to hide your identity or where such cloaking is important tend to implement that. I'm sure plenty of setups don't have it enabled by default, but I think it would have been productive to document what percentage of leading personal/commercial and corporate VPN solutions have this enabled by default."

    Если коротко, то у большинства нормальных VPN клиентов по умолчанию есть firewall, который делает эту атаку невозможной.

     
     
  • 2.4, Аноним (4), 11:35, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    А у нас вообще запрещены, так, что не страшно.
    https://opennet.ru/46944-law
     
     
  • 3.18, cheburnator9000 (ok), 12:15, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Всегда поражался тупостью местных законовыдумывателей, им там хоть раз в голову ... большой текст свёрнут, показать
     
     
  • 4.35, Аноним (33), 13:43, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тупость это когда от действий страдает придумывающий всё это. В данном случае стадают все остальные. И это специально, и специально написано чтобы под статьи попадало всё чтобы при необходимости статью можно было пришить кому угодно.
     
  • 4.38, Banned (?), 14:12, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И в чем проблема? Вот прикрутили бота-модератора помимо админов  и норм на Опеннете - все по закону. Несут владельцы ответственность за писанинку анонимов с браузеров на этом  ресурсе.Я вон даже ник себе правильный написал,настолько я на самом деле пушистый.
     
  • 4.87, Бывалый Смузихлёб (ok), 07:44, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Просто некоторые мб никогда не взаимодействовали с формальщиной далее чем подписание трудового договора или стопки согласий в поликлинике.
    Эти законы дают основание, с одной стороны, формально требовать исполнения, а с другой - право и возможность блокировки ресурсов при неисполнении требований.

    Вдобавок, если все они такие добрые и ограничений не допускающие, как же многие из них запретили для своих жителей доступ к тому же RT ?

    Тем более, что конституция сама по себе вообще ничего не означает - означают законы и иные акты, регулирующие те самые хотелки, прописанные в конституции.

     
  • 2.5, Вирт (?), 11:40, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >  то у большинства нормальных VPN клиентов по умолчанию есть firewall,

    firewall может быть частью ОС, но никак не VPN клиентов.

     
     
  • 3.15, тыквенное латте (?), 12:07, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>  то у большинства нормальных VPN клиентов по умолчанию есть firewall,
    > firewall может быть частью ОС, но никак не VPN клиентов.

    нет никакой разницы, с т.з. кода. Грубо говоря, на примере линукса, нет особой разницы что дергает nf_tables, и даже через что... напрямик, или обёртка вокруг libnftnl.

    Но с точки зрения архитектуры сервисов, разумеется, впечь такой vpn клиент.

     
  • 3.126, Бум (?), 18:34, 10/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну зачем вы такое говорите? У касперсокго и нод32 свой фаервол и прекрасно они работают перекрывая штатный фаервол ОС
     

  • 1.3, Аноним (3), 11:34, 07/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Не использовать DHCP, а юзать статические IP адреса. Не вариант?
     
     
  • 2.23, Аноним (23), 12:40, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    причем в url'ах тоже, а еще надо помнить мак шлюза, чтобы арп не подставили, вот тогда.... а нет, и тогда можно похакать все.
     
  • 2.32, 1 (??), 13:35, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    2 чая ...

    Если получил контроль над DHCP в локалке - так там до VPN-а можно всё украсть.

     
     
  • 3.44, Аноним (44), 15:43, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вы не поверите, но не нужно получать контроля над DHCP, достаточно запустить свой dhcp-сервер и все клиенты ваши. В dhcp нет авторизации.
     
     
  • 4.47, 1 (??), 16:48, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не поверю ! Так как у меня в LAN 1 юзверь на 1 VLAN.
     
     
  • 5.52, Аноним (52), 17:40, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ... и локалка из одного пентиума-3 1999 года ...
     
  • 2.61, Ivan_83 (ok), 22:57, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не вариант, когда у тебя больше двух хостов.
    А в современном жилье их даже у старушек легко оказывается 3+.
     
  • 2.128, Бум (?), 18:40, 10/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Можно юзать dhcp и игнорировать все получаемые маршруты/dns'ы с сетевых интерфейсов, потому что вы их уже прописали статикой как вам нужно и как нужно настроили nat на роутере/компьютере
     
     
  • 3.130, Бум (?), 18:47, 10/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И кстати, метрика у маршрутов с дианмическим назначением гораздо выше (низкоприоритетней) статических маршрутов (если вы принудительно не меняете приоритет у статических маршрутов)
     

  • 1.6, Аноним (6), 11:41, 07/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Объясните  ̶о̶в̶о̶щ̶у̶ не шарящему в сетях, провайдер может  ̶з̶о̶н̶д̶и̶р̶о̶в̶а̶т̶ь̶ ̶м̶о̶й̶ ̶а̶н̶у̶ перехватить мой траффик гоняемый по OpenVPN'у?
     
     
  • 2.19, Аноним (19), 12:17, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    провайдер не может. а чел который там работает может.
     
  • 2.20, cheburnator9000 (ok), 12:19, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Читать шифрованные пакеты да, дешифровывать их нет и никогда не сможет. Замедлять тоже научились, благодаря устройствам выявляющие пакеты OpenVPN.
     
     
  • 3.127, Бум (?), 18:37, 10/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    дополню - даже если провайдер подделает ваш впн сервер или айпи, то ваш клиент не сможет к нему подключиться, потому что провайдер всё равно не сможет узнать ваши сертификаты и логины/пароли. А если впн клиент не подключён, то вы сразу заметите.
     
  • 2.42, Аноним (42), 14:56, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если ты к впн подключаешься напрямую без роутера или через роутер которым управляет провайдер - да, может при желании.
     
  • 2.56, Аноним (-), 21:45, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > провайдер может  ̶з̶о̶н̶д̶и̶р̶о̶в̶а̶т̶ь̶ ̶м̶о̶й̶ ̶а̶н̶у̶ перехватить мой
    > траффик гоняемый по OpenVPN'у?

    В определенных условиях и допущениях, как оказывается, таки может попробовать.

     
  • 2.62, Ivan_83 (ok), 22:59, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чувак, у тебя проблема не техническая а административная.
    Перехват твоего трафика провайдером должен быть наказуем по закону, если же ты опасаешься за свою шкуру при этом то либо надо менять локацию либо вид деятельности.
     
     
  • 3.96, Аноним (96), 11:11, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >надо менять локацию
    >остановите землю, я сойду

    видимо

     
     
  • 4.132, Аноним (132), 06:39, 11/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >>надо менять локацию
    >>остановите землю, я сойду
    > видимо

    Вообще-то ivan_83 как и я таки - следовали тому совету и локацию сменили. И по крайней мере в более приличных локациях - на 10 лет за неудобные мнения не пакуют. Так что мысль про опасения за свой окорок - весьма актуальная. А вам успехов в айти...

     
  • 2.103, fidoman (ok), 18:22, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если например это роутер в гостинице и к нему подключился клиент, клиент получает маршруты на 0.0.0.0/1 и 128.0.0.0/1 - и траффик уже не идёт через VPN, который отдал 0.0.0.0/0.
     

  • 1.7, Аноним (7), 11:43, 07/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Для защиты от атаки можно запретить на уровне пакетного фильтра отправку пакетов, адресованных в VPN-интерфейс, через другие сетевые интерфейсы; блокировать DHCP-пакеты с опцией 121; использовать VPN внутри отдельной виртуальной машины (или контейнера), изолированной от внешней сети, или применять специальные режимы настройки туннелей, использующие пространства имён в Linux (network namespace).

    Просто отключить DHCP, не?

     
     
  • 2.57, Аноним (-), 21:47, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> сети, или применять специальные режимы настройки туннелей, использующие пространства имён в
    >> Linux (network namespace).
    > Просто отключить DHCP, не?

    Ты так популярно объяснил почему в моей конфиге эта атака не сработает...

     
  • 2.63, Ivan_83 (ok), 23:00, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И бегать настраивать по десяткам девайсов?
    Лучше купите веб смарт свитч и настройте dhcp sreening.
     
     
  • 3.75, Аноним (75), 02:27, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да, настроить 1 раз по десятку устройств, и потом не париться о
    * упавшем DHCP-сервере
    * уязвимостей с его стороны
    * задержке на получение адреса по DHCP.
     
     
  • 4.80, Ivan_83 (ok), 04:23, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У меня dnsmasq ни разу ни где не падал.
    А вообще, в локалке может быть куча DHCP серверов одновременно, и можно даже настроить чтобы они резервировали друг друга.

    Уязвимости у вас в фантазиях.

    Задержка - где то от 1мс, те на уровне пинга.
    Но в зависимости от конфига дхцп сервера может быть больше.

     
     
  • 5.94, Аноним (96), 11:06, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Зато у меня на OpenWRT падает постоянно. Потому что превратили прошивку в раздутую блоатварь, которая на той же оперативе не может теперь даже загрузиться, хотя раньше не только грузилась, а все навороты работали.
     
     
  • 6.95, Аноним (96), 11:09, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    и при соединении по вайфай, если адрес не задан статически, то на несколько секунд медленнее подключается. Это если DHCP-сервер не упал.
     
  • 6.100, Ivan_83 (ok), 13:09, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это оффтопик.

    http://netlab.dhis.org/wiki/software:openwrt:software:openwrt:software:openwr
    Вот сделайте в конфиге и пересоберите, полегчает немного.

     
  • 6.120, Аноним (-), 19:17, 09/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так сделали эрзац системды - да еще в наихучшем виде, когда jail процесс от... большой текст свёрнут, показать
     

  • 1.9, Аноним (7), 11:51, 07/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >socket

    все современные протоколы VPN используют дэйтаграммы, а не TCP.

    >tun0

    для wg0 эта атака тоже должна работать. Фундаментальный дефект дизайна реализации VPN - это их работа через общую таблицу маршрутизации, а не через многоуровневую, где чем раньше пакет обрабатывается таблицей - тем приоритетнее та таблица.

     
     
  • 2.64, Ivan_83 (ok), 23:07, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не так работает В ОС есть общая таблица маршрутизации Чем более длинный ... большой текст свёрнут, показать
     
     
  • 3.76, Аноним (75), 02:38, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Спасибо, понятно. Значит ффтопку эти все VPNы на основе таблиц маршрутизации в ядре, просто используем SOCKS-прокси в нужных приложениях, которые пакеты до VPN сами прокидывают. Всё идёт через прокси, если VPN упал - соединение рвётся, никаких извращённых манипуляций с таблицами маршрутизации. К сожалению UDP так не прокинуть.
     
     
  • 4.81, Ivan_83 (ok), 04:24, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если у вас сокс5 прокси и впн клиент разные приложения - то будет точно так же как без сокс5.
     
  • 2.85, wd (?), 04:44, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    внезапно wg кладет болт на таблицу маршрутизации и заворачивает пакеты согласно allowed-ips
    чем люто бесит
     

  • 1.10, Аноним (7), 11:54, 07/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >Перенаправление осуществляется через выставления серии маршрутов для подсетей с префиксом /1, которые имеют более высокий приоритет, чем применяемый по умолчанию маршрут с префиксом /0 (0.0.0.0/0)

    Я чайник в сетях, поэтому мне не понятно:

    1. почему /0 имеет меньший приоритет, чем /1, но больший, чем /24?
    2. А если самим указывать /1 2 раза, то что будет?

     
     
  • 2.14, Аноним (14), 12:06, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не парься, все годные закладки в железе.
     
     
  • 3.70, Аноним (70), 23:19, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Какое удовольствие попариться самому, чтобы попарить закладчиков ммм:)
     
  • 2.17, MEXAHOTABOP (ok), 12:10, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1. При выборе маршрута берется наиболее совпадающий маршрут маска /24 означает что первые 24 бита ip адреса должны совпадать, он будет иметь приоритет над /1 и /0 и тут не написано обратного.
    2. tcp протокол сам по своим метрикам выбирает наиболее подходящий маршрут (самый быстрый, или первый инициализированный) если есть 2 интерфейса с одинаковыми роутами
     
     
  • 3.22, Аноним (7), 12:37, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего не понял.

    1. Если /24 приоритетнее, чем /0, то почему при врубании VPN с 0.0.0.0/0 всё должно идти через VPN?
    2. маршрутизация - это не функция транспортного уровня, а сетевого. За неё отвечает IP. TCP тут вообще никаким боком, тем более что все современные VPN-протоколы основаны либо на UDP, либо на IPSec.

     
     
  • 4.24, Аноним (23), 12:42, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > современные VPN-протоколы основаны либо на UDP, либо на IPSec.

    Бугага, а конечно, чтобы их блокировать удобнее было

     
     
  • 5.26, Аноним (7), 12:43, 07/05/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
  • 3.73, OpenEcho (?), 23:40, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > 2. tcp протокол сам по своим метрикам выбирает наиболее подходящий маршрут (самый быстрый, или первый инициализированный) если есть 2 интерфейса с одинаковыми роутами

    Т.е. перед тем как выдать ИПшник, ДХЦП еще и скорость мерит ?
    Или даже гонка, кто первый ?

    :)

    Нет, там все значительно проще, если гейтов больше чем один, то приоритет у того, у кого меньше метрика, вот и все


     
  • 2.65, Ivan_83 (ok), 23:11, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поиск идёт по самому длинному префиксу.
    Самым приоритетным будет /32, потом /31 и так до /0.
    /1 менее приоритетный чем /24.
    Потому что есть p2p линки, там /32 на другом конце и понятно что даже если там
    192.168.1.22 хост то нужно к нему ходить именно через отдельный p2p интерфейс а не искать его в
    локалке где 192.168.1.0/24 куча похожих адресов.


    Вы не можете добавить в таблицу маршрутизации две одинаковых записи.
    (там могут быть исключения, кажется бывают разные метрики для одного маршрута, но это не во всех ОС и тема сильно адвансед для того кто спрашивает такое :) ).

     
     
  • 3.77, Аноним (75), 03:01, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за инфу.
     
  • 2.72, OpenEcho (?), 23:36, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > почему /0 имеет меньший приоритет чем /1,

    Потому что это все, что не указанно эксплицитли, /1 - это уже более конретней, значит более приоритетней

    > но больший, чем /24?

    С чего это? Чем уже маска, тем конкретней скоп, /24 приоритет выше чем /1

    Если гейтов более чем один в подсети, то приоритетность маршрута выбирается тогда не по маске, а по метрике гейтвеев, чем меньше значение метрики, тем  более приоритетный гейтвэй.

     

  • 1.13, Аноним (13), 12:06, 07/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Суть атаки в том, что атакующий может запустить свой DHCP-сервер и использовать его для передачи клиенту информации для изменения маршрутизации.

    Мощно.

     
  • 1.27, Алкоголизм (?), 12:51, 07/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Можно ещё таскать с собой wifi-роутер, который будет подключаться к сети, а сам раздавать целевым устройствам по ethernet/wifi. И проблема считай решена. Своеобразно, правда, но решена.
     
     
  • 2.34, Аноним (33), 13:39, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так тебе просто роутер целиком завернут куда не нужно
     
     
  • 3.66, Ivan_83 (ok), 23:13, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Роутер то да, но впн клиент будет за роутером и до него вредные маршруты не дойдут.
     

  • 1.36, Banned (?), 13:57, 07/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я вот не понял. VPN зло или DHCP?
     
     
  • 2.43, Аноним (42), 15:00, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ОС которые слепо верят DHCP
     
     
  • 3.67, Ivan_83 (ok), 23:15, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы же верите электрикам и сантехникам - они вам базовый сервис организуют.
    Или вы из тех кто дома прежде чем унитазом воспользоватся проверяет его на все возможные подлости?
    Мне вот интересно, а как вы обезопасиватесь от того что из унитаза может вынырнуть питон и цапнуть вас?) (кейсы из австралии)
     
     
  • 4.89, Аноним (89), 08:19, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага и службе безопасности верим, которая звонит с левого номера (нет), а так верить никому нельзя потому что все врут.
     
  • 4.110, Аноним (-), 22:06, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А напрасно М ков которые путают фазу и ноль или просто не парятся - в природе... большой текст свёрнут, показать
     
     
  • 5.111, Ivan_83 (ok), 22:19, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Уже ДАВНО есть дифф автоматы, которые гарантируют что если вы схватитесь за провод с фазой то автомат отключит электричество раньше чем вы почувствуете что вас бьёт током.
    Обычно таких автоматов минимум два в цепи, в некоторых вариантах такие втоматы ещё и в каждой розетке.
     
     
  • 6.117, Аноним (117), 18:25, 09/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вообще-то проверявшие как это работает на своей тушке нет, сам я под 220 сов... большой текст свёрнут, показать
     
     
  • 7.121, Ivan_83 (ok), 01:48, 10/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У нас дифф миним по разу на каждом срабатывал, никто ничего не почуствовал :)

    Дифф вовсе не дорогой, единственная причина по кторой их могут ставить на группу - размеры х2 или х3.

    Как я говорил - бывают розетки со встроенным дифф, там вырубит по месту.

     
     
  • 8.133, Аноним (-), 06:47, 11/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Хрена вы там неаккуратные Я всего 1 чела видел который на себе тестил, правда, ... большой текст свёрнут, показать
     
     
  • 9.138, Ivan_83 (ok), 01:08, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Дифференциальный автомат Schneider Electric EZ9D22640 - 5500 руб, это самый доро... текст свёрнут, показать
     
     
  • 10.144, Аноним (-), 13:47, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну дык Вот и жмутся на них А ставить китайскую электрику, особенно дешевую - н... большой текст свёрнут, показать
     
  • 6.118, Аноним (33), 18:43, 09/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это же только если правильно подключить такой автомат и правильно поставить землю. Просто слепая установка от балды может ничем не помочь. Например, землю на ноль до автомата завернули тем или иным способом
     
     
  • 7.123, Ivan_83 (ok), 01:58, 10/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Дифф автомату земля не нужна от слова совсем, он срабатывает от РАЗНИЦЫ (дифф же) силы тока в обоих проводах.
     
     
  • 8.129, Аноним (33), 18:42, 10/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это тебе только так КАЖЕТСЯ извините, это для исчеричных чудил, которые пока чт... текст свёрнут, показать
     
     
  • 9.131, Ivan_83 (ok), 02:30, 11/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да, и утекает оно обычно через тушку человека, который стоит ногами на полу или ... текст свёрнут, показать
     
     
  • 10.135, Аноним (-), 07:01, 11/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это как раз наименее тупой вариант Иначе остается дофига опасного контура где н... текст свёрнут, показать
     
  • 9.134, Аноним (-), 06:59, 11/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Дифавтомат таки - не оперирует землей Он ставится между фазой и нулем в разрыв ... большой текст свёрнут, показать
     

  • 1.40, Tron is Whistling (?), 14:48, 07/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А если завесить IPv6 SLAAC или DHCP то та же винда будет считать его и его DNS-серверы приоритетными. Шах и мат. Много мата.
     
     
  • 2.41, Tron is Whistling (?), 14:48, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    (да и RA тоже ничего так себе)
     

  • 1.46, Аноним (46), 16:00, 07/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Для икспердов, которые говорят, мол, DHCP это плохо, кто получит доступ к моей локалке, это всё только если роутер от провайдера  и т.д. — бвспомните про публичные сети (кафе, отели), особенно для тех мест, где иначе доступ к интернету не получить (например, деревня далеко от города). Ещё бывают публичные сети корпоративные, там тоже подвержено.

    А по поводу DHCP — полезная технология, без неё, например, мобильный доступ к интернету был сложнее. Или хотя бы про поддержку синхронизации времени по NTP у доверенных источников

     
     
  • 2.48, Аноним (48), 17:21, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > DHCP — полезная технология, без неё, например, мобильный доступ к интернету был сложнее

    DCHP — атавизм для легаси сетей. Мобильные провайдеры как раз-таки с радостью выкидывают этот хлам и переходят на сингл стэк IPv6 с NAT64/DNS64 для IPv4.

     
     
  • 3.54, Oleg (??), 21:08, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Есть ли примеры таких провайдеров в РФ?
     
  • 3.68, Ivan_83 (ok), 23:16, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чувак, есть DHCPv6, и есть RA.
    Они все ни чуть не лучше DHCPv4, просто там IPv6.
     
     
  • 4.79, Аноним (48), 03:44, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    DHCPv6 — костыль. У RA совершенно другая семантика. В частности, RA позволяет динамически перенастраивать клиентов.
     
  • 2.49, Аноним (48), 17:23, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Или хотя бы про поддержку синхронизации времени по NTP у доверенных источников

    Это вообще никаким боком к DHCP. Источник времени, тем более доверенный, к DCHP никак не относится и без MACSec в данном случае неосуществим.

     
     
  • 3.69, Ivan_83 (ok), 23:18, 07/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Почитайте уже какие опции есть в DHCP.
    Там не только список DNS, но NTP, SMTP, IRC, WINS, и уже не помню чего ещё.
     
     
  • 4.78, Аноним (48), 03:43, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В DHCP можно произвольную информацию передавать с кастомными номерами опций, лишь бы клиент и сервер оба знали, что с ними делать. Это как раз не проблема. Проблема в том, что проверить подлинность ответов DHCP никак нельзя без криптографии. Поэтому с голым DHCP «про поддержку синхронизации времени по NTP у _доверенных_ источников» можно забыть.
     
     
  • 5.82, Ivan_83 (ok), 04:30, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    1. Клиент в запросе указывает опции которые он хочет.
    Если сервер передаст лишнее то клиент это проигнорит.
    А может и вообще дропнет пакет, надо смотреть настройки и реализации.


    2. Крипта не нужна.
    В управляемой сети ответы можно получать только от строго определённых админом хостов подключённых к определённым портам.


    3. Есть совсем управляемые сети, где хосту надо пройти авторизацию прежде чем коммутатор его выпустит в общую сеть.
    На практике такое редко делают, обычно в совсем лютых местах в плане безопасности :)
    Авторизация там не хуже чем в вифи: пароль или сертификат, но без возможности перехвата.

     
  • 5.83, Ivan_83 (ok), 04:33, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И да, админ сети может положить на вас с прибором и просто на фаере завернуть все запросы к 123 порту на свой локальный NTP сервер.
    Аналогично с DNS.
    Я так иногда делаю и делал.
    Ещё и 80 в сквид на кеширование и резалку рекламы заворачивал раньше.
     

  • 1.59, Ivan_83 (ok), 22:53, 07/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мда.
    А ещё электрик или просто хуллиган может провести DoS атаку и вырубить автомат в подъездном щитке.
    А другой хулиган может какахами с потолка топить что приведёт к повреждению электроники.
    И ещё 100500 вариантов из серии "враждабное окружение".


    DHCP - мастхэв, статика - это для лузеров из прошлого века и p2p линков.
    В адекватной локалке уже пора бы обзавестись управляемыми коммутаторами хотя бы web smart серии (где всё мышкой через браузер), стоят они не сильно дороже не управляемых, зато там можно все левые DHCP хосты отфильтровать так что они смогут хакать только себя.
    Там на самом деле куча всяких фишек, включая ARP/ND испекцию, упомянутый выше DHCP screening и тп.

     
     
  • 2.84, Ivan_83 (ok), 04:35, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь ждём от авторов такие новейших открытий как:
    - DoS атака на DHCP сервер для исчерпания свободных лиз;
    - WPAD извращения с подсовыванием своих проксей, как через DHCP так и через регистрацию доменов.
     
     
  • 3.101, OpenEcho (?), 13:31, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > - DoS атака на DHCP сервер для исчерпания свободных лиз;

    Желаю удачи, если на всех рабочих станциях файрволы акцептят только установленный админом IP of DHCP и режет все левые bootpc (кстати будет работать и с "новостью"). Ну и arpwatch никто не отменял

    > - WPAD извращения с подсовыванием своих проксей, как через DHCP так и через регистрацию доменов.

    DNS: http(s)?://wpad.* => reject

     
     
  • 4.106, Ivan_83 (ok), 21:41, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем нужные фаеры за пределами роутера?)

    > на всех рабочих станциях файрволы акцептят только установленный админом IP of DHCP и режет все левые bootpc (кстати будет работать и с "новостью").

    Это вас никак не защитит.
    В неуправляемой локалке я могу вам отправлять с любого MAC+IP любые пакеты.

    Защита от подмены MAC - port inspection у длинка называется и позволяет ограничивать количество MAC адресов на каждом порте коммутатора. Правда это не удобно при наличии виртуалок, придётся им или без инета или нужно NAT поднимать на хосте виртуализации.

    DHCP relay agent, DHCP screening - это как раз чтобы коммутатор фильтровал лишнее и пересылал только от нужных DHCP серверов пакеты.

     
     
  • 5.115, OpenEcho (?), 17:28, 09/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем нужные фаеры за пределами роутера?)

    А у вас в локалках полное доверие всем?

    >> на всех рабочих станциях файрволы акцептят только установленный админом IP of DHCP и режет все левые bootpc (кстати будет работать и с "новостью").
    > Это вас никак не защитит.
    > В неуправляемой локалке я могу вам отправлять с любого MAC+IP любые пакеты.

    Вот именно для этого локалка и должна быть управляемая, или мы про домашню сеть с двумя тремя юзерами где на  802.1X свитч не наскребли ?


    > DHCP relay agent, DHCP screening - это как раз чтобы коммутатор фильтровал
    > лишнее и пересылал только от нужных DHCP серверов пакеты.

    Т.е. все таки "нормальный" свитч есть ;)

     
     
  • 6.122, Ivan_83 (ok), 01:55, 10/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Доверие не нужно.
    Я вообще думаю почти полностью отказатся от фаера дома и расшарить локалку в инет.
    На приватных сервисах поставлю TTL=1 и оно само автоматом за локалку не выйдет.


    > 802.1X

    Не удобно, им на практике почти никто не пользуется.
    И я вам не про дурацкую фильтрацию по IP которую вы собрались на каждом хосте настраивать, а про фильтрацию DHCP на уровне коммутатора, которая настраивается один раз и для всех сразу.

     
  • 4.108, Ivan_83 (ok), 21:44, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > DNS: http(s)?://wpad.* => reject

    Это какой такой DNS сервер у вас http/https понимает в конфиге?))))

     
     
  • 5.116, OpenEcho (?), 17:44, 09/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> DNS: http(s)?://wpad.* => reject
    > Это какой такой DNS сервер у вас http/https понимает в конфиге?))))

    http(s)? выше только для понимания о чем wpad.* и блокать надо не на ДНС а на файрволе, на рабочих станциях

     
     
  • 6.124, Ivan_83 (ok), 02:04, 10/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Походу с понимаем у вас не очень :)
    С админством тоже, ибо вместо централизованного управления у вас индивидуальный тюнинг каждого хоста.

    Сомневаюсь что у вас есть представление о том, как блочить WPAD на уровне фаера, особенно если это не ngfw какой нить а условных *tables в линухах.

    У нормальных админов WPAD блочится и на уровне DHCP и на уровне DNS сервера на роутере.
    DHCP выдаёт WPAD на роутер, роутер отдаёт там DIRECT. Это 5 строчек, 4 из которых в nginx.
    В DNS нужно прописывать либо регэкспами либо пачку записей, для этого надо почитать доку и узнать как клиенты перебирают доменные имена в поисках.

     
     
  • 7.125, OpenEcho (?), 11:37, 10/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Походу с понимаем у вас не очень :)

    Ну вот на этом пожалуй и закончим, удачи в домашних локалках мистер

     
  • 7.136, Аноним (132), 07:04, 11/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Походу с понимаем у вас не очень :)
    > С админством тоже, ибо вместо централизованного управления у вас индивидуальный тюнинг
    > каждого хоста.

    Централизованое админство имеет минус: оно видите ли в случае чего очень удобно оказывается не только админу... :). Особенно хороша в этом AD, там сразу можно всей конторе малварь раздать не отходя от кассы. Удобно то как! А вы потом можете подумать что с этой конторой делать и как ее вообще оживить, когда там ВСЕ компы - с троянами. Удобство и безопасность живут по разную сторону улицы ;)

     
     
  • 8.137, OpenEcho (?), 14:16, 11/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    This Секьюрность не должна быть - single point of failures, это многоступенч... текст свёрнут, показать
     
     
  • 9.146, Аноним (-), 14:38, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А что будет если атакующий вот этот центр сертификации - раз т - и сертифициру... текст свёрнут, показать
     
     
  • 10.148, OpenEcho (?), 17:19, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Всё от установленого уровня секьюрности зависит Центр сертификации в серьёзных ... текст свёрнут, показать
     
  • 9.147, Аноним (-), 14:39, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А что будет если атакующий вот этот центр сертификации - раздолбит - и сертифици... текст свёрнут, показать
     
  • 8.139, Ivan_83 (ok), 01:12, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Это вы сами себе придумали сценарий и сами его радостно хакнули ... текст свёрнут, показать
     
     
  • 9.145, Аноним (-), 14:36, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то этот сценарий опробован на практике еще сто лет назад неким Comodohack... большой текст свёрнут, показать
     
  • 2.90, 1 (??), 09:30, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    DHCP - костыль. Использовали бы IPX и не надо было бы никакого DHCP.
    Опять же без всякой авторизации получать кучу настроек на устройство от того, кто первым откликнулся по сети, такое себе. Вот и приходится извращаться с RADIUS и 801.2x на свитчиках.
     
     
  • 3.99, Ivan_83 (ok), 13:06, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    DHCP relay agent, DHCP screening - проблема решена лет 15 как минимум.
     
  • 2.104, Аноним (104), 20:43, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Психология виндовс админа и цисковода. С этим уже только на пенсию.
     
     
  • 3.107, Ivan_83 (ok), 21:43, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    У меня длинки вебсмарт только, и венду я не админю уже лет 10 за деньги.
     

  • 1.71, Аноним (70), 23:26, 07/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так вроде при использовании VPN соединение должно быть зашифровано и злоумышленник всё равно ничего не прочтёт? Или я ошибаюсь?
     
     
  • 2.74, Ivan_83 (ok), 01:39, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Соединение между девасом где клиент и хостом где впн сервер - да.
    Но суть в том, что впн клиент ставит маршрут 0.0.0.0/0 чтобы загнать весь трафик в туннель.
    А по DHCP можно заслать пачку /1 маршрутов или даже просто до конкреных хостов/сетей, и тогда есть вероятность что ваше устройство начнёт посылать траффик не через впн туннель а через шлюз который будет указан для /1 такой подсети.

    У вас же грубо говоря доступ до веб админки роутера не пропадает при подключении впн, а дело в том, что до сети где эта админка обычно есть маршрут вида /24 через интерфейс и он имеет более высокий приоритет чем /0 от впн клиента (или роутера, до впн клиента /0 выдаёт вам дхпп сервер с адресом шлюза - роутером).

     

  • 1.91, Аноним (91), 09:46, 08/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо пользоваться Tor over VPN.
     
  • 1.92, Аноним (92), 10:01, 08/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Кто-то просто прочитал инструкцию к DHCP-серверу?) Уровень расследований возрос)
     
     
  • 2.97, 1 (??), 11:17, 08/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    2 чая этому господину.

    Как любили говорить "вот и выросло поколение ..." и оно осваивает чудесные, удивительные технологии как постройка пирамид и DHCP.

     

  • 1.98, anonymous (??), 13:06, 08/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Собственно именно поэтому и нужен ip netns - чтобы виртуальный интерфейс был единственно доступным для программы. И даже если ты как-то убедишь программу отправлять пакеты на небезопасные адреса, мимо vpn оно не пройдёт.

    Для TOR оно тоже актуально.

     
     
  • 2.112, Аноним (-), 04:08, 09/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Собственно именно поэтому и нужен ip netns - чтобы виртуальный интерфейс был
    > единственно доступным для программы. И даже если ты как-то убедишь программу
    > отправлять пакеты на небезопасные адреса, мимо vpn оно не пройдёт.
    > Для TOR оно тоже актуально.

    Ну дык в дефолтном неэмспейсе сеть можно вообще выпилить. Так всякое фуфло с телеметрией конкретно обломается. Специальный бонус: нарулить логгинг и apt purge на всю выявленную спайварь.

     

  • 1.105, Аноним (104), 20:55, 08/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Даже имея секурное клиентское устройство и правильную криптографию, можно получить MITM. Хаха.
    Сеть доступа почти всегда идет через роутеры с проприетарными прошивками, ОС от сотрудничающих с ЦРУ корпораций, с незакрытыми уязвимостями, бэкдорами и тд и тп. Вероятность, что вашу локалку контролирует кто-то кроме вас или ее администратора очень велика в современном мире.

    Лично мне никогда не нравилась идея давать впн ради доступа к парочке админок. Для этого достаточно порт прокинуть через ссш туннель. Все это виндовс головного мозга. Ну и поделом.

     
  • 1.114, Аноним (114), 12:16, 09/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что в списке уязвимых делает wireguard?
    Там нет никаких DHCP, захардкоженные в конфиге IP-адреса и allowed-ips.

    Понятно, что можно сделать любую надстройку, но это проблема надстройки.

     
     
  • 2.140, Ivan_83 (ok), 01:16, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А почему нет?
    Вот вы будете ходить через варегард в инет (0.0.0.0/0), а провайдер вам выдаст пару (/1) маршрутов и получит весь ваш траффик в раскрытом виде.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру