Tunnelvision Angreifer können VPNs aushebeln
Hallo,
seit einige Tagen schwirrt nun die Nachricht durchs Netz, dass VPNs via falsche dhcp Parameter durch Angreifer ausgehebelt werden können.
https://www.heise.de/news/Tunnelvision-Angreifer-koennen-VPNs-aushebeln- ...
Das Problem ist nicht neu, aber wohl nicht nur auf VPNs beschränkt. Wenn es einem Angreifer gelingt in einem Netz dhcp Pakete zu verschicken, dann kann er wohl jedweden Verkehr, welcher das Netz in dem er sich befindet verlässt, umleiten..
Gibt es eures Wissens in Windows die Möglichkeit die Clients so einzustellen, dass dhcp-Pakete oder zumindest bestimmte Optionen, nur von einer bestimmten Quelle akzeptiert werden?
Wäre eine Windows-Firewall Regel eine Möglichkeit?
Grüße
Andreas
seit einige Tagen schwirrt nun die Nachricht durchs Netz, dass VPNs via falsche dhcp Parameter durch Angreifer ausgehebelt werden können.
https://www.heise.de/news/Tunnelvision-Angreifer-koennen-VPNs-aushebeln- ...
Das Problem ist nicht neu, aber wohl nicht nur auf VPNs beschränkt. Wenn es einem Angreifer gelingt in einem Netz dhcp Pakete zu verschicken, dann kann er wohl jedweden Verkehr, welcher das Netz in dem er sich befindet verlässt, umleiten..
Gibt es eures Wissens in Windows die Möglichkeit die Clients so einzustellen, dass dhcp-Pakete oder zumindest bestimmte Optionen, nur von einer bestimmten Quelle akzeptiert werden?
Wäre eine Windows-Firewall Regel eine Möglichkeit?
Grüße
Andreas
Please also mark the comments that contributed to the solution of the article
Content-ID: 81952446760
Url: https://administrator.de/contentid/81952446760
Printed on: December 3, 2024 at 04:12 o'clock
9 Comments
Latest comment
Sowas macht man normalerweise direkt auf dem Switch. Da wird festgelegt an welchen physischen Switchports DHCP-Server betrieben werden dürfen, an unerlaubten Ports verwirft der Switch dann die Pakete.
Bei der Gelegenheit sollte man sowas dann auch für IPv6-RA konfigurieren, da hast du ein ähnliches Problem.
Das hilft nicht nur gegen böswillige Angreifer sondern auch gegen versehentliches Einbringen von ungewollten DHCP- und RA-Servern.
Am Client kannst du da wenig machen, da du (in öffentlichen Netzen) überhaupt nicht weißt welche IP- und MAC-Adresse der autoritative DHCP-Server dort hat.
Und für Hotel-WLANs gilt: Wenn ich dem Netz nicht vertraue, aber eine halbwegs vertrauenswürdige Umgebung brauche, dann nutze ich das WLAN nicht sondern nehme eine Verbindung über Mobilfunk.
Wem das zu viel Datenvolumen ist, hat dann halt nicht den richtigen Tarif für sein Business.
Bei der Gelegenheit sollte man sowas dann auch für IPv6-RA konfigurieren, da hast du ein ähnliches Problem.
Das hilft nicht nur gegen böswillige Angreifer sondern auch gegen versehentliches Einbringen von ungewollten DHCP- und RA-Servern.
Am Client kannst du da wenig machen, da du (in öffentlichen Netzen) überhaupt nicht weißt welche IP- und MAC-Adresse der autoritative DHCP-Server dort hat.
Und für Hotel-WLANs gilt: Wenn ich dem Netz nicht vertraue, aber eine halbwegs vertrauenswürdige Umgebung brauche, dann nutze ich das WLAN nicht sondern nehme eine Verbindung über Mobilfunk.
Wem das zu viel Datenvolumen ist, hat dann halt nicht den richtigen Tarif für sein Business.
Du kannst bei den jeweiligen Clients unabhängig des OS mit den dort verfügbaren Firewall eine Regel anlegen mit "blocke alles" und dann eine mit den zugelassenen Gateways für das Tunnelinterface.
Dann bliebe nur noch iOS zu klären, bei Android wird Option 121 sowieso ignoriert.
Dann bliebe nur noch iOS zu klären, bei Android wird Option 121 sowieso ignoriert.
Das vom Kollegen @LordGurke vorgeschlagene DHCP Snooping ist aber die deutlich sinnvollere Lösung und üblicherweise auch "Best Practise" in allen gut konfigurierten Netzen!
Danke, aber für unvertraute Netze finde ich die Lösung von MayBeSec nicht schlecht. Ich hatte auch nur daran gedacht irgendwie die fehlerhaften DHCP-Infos zu filtern, aber ausgehend den Traffic zu regulieren ist auch eine gute Lösung. Geht allerdings nur, wenn man kein Split-Tunneling vorhat, wobei man dann die Firewallregeln notfalls auch auf die im VPN verwendeten Netze eingrenzen könnte.
Grundsätzlich stimme ich dir zu @aqui
Aber das eigene interne Netz stellt mE sowieso nicht das Problem dar, da selbst dann, wenn per einem "illegalen" DHCP-Server ein weiteres Gateway verteilt würde es nicht wirklich viel brächte, außer der Angreifer hätte sowieso schon einen Empfänger im internen Netz dafür platziert. Daten aus dem internen in externe Netze dürfte in der Regel scheitern in gut konfigurierten Netzen.
Das Hauptproblem besteht also in der Tat bei unbekannten Netzen über die dann ein VPN oder andere Verbindungen aufgebaut werden sollen.
Oder übersehe ich etwas?
Aber das eigene interne Netz stellt mE sowieso nicht das Problem dar, da selbst dann, wenn per einem "illegalen" DHCP-Server ein weiteres Gateway verteilt würde es nicht wirklich viel brächte, außer der Angreifer hätte sowieso schon einen Empfänger im internen Netz dafür platziert. Daten aus dem internen in externe Netze dürfte in der Regel scheitern in gut konfigurierten Netzen.
Das Hauptproblem besteht also in der Tat bei unbekannten Netzen über die dann ein VPN oder andere Verbindungen aufgebaut werden sollen.
Oder übersehe ich etwas?
Moin,
mal eine Verständnisfrage von einem Anfänger.
Wie soll den der Angreifer die IP-Adresse des Netzwerkes wissen, was er vielleicht infiltrieren will?
Ja, es gibt die Bereiche, die man für die Netzwerke nutzen darf. Aber auch das VPN-Netzwerk wird doch Datenpakete verwerfen, wenn diese nicht dem passenden Netzwerk übereinstimmen.
Oder denke ich da vielleicht falsch.
Gruß
mal eine Verständnisfrage von einem Anfänger.
Wie soll den der Angreifer die IP-Adresse des Netzwerkes wissen, was er vielleicht infiltrieren will?
Ja, es gibt die Bereiche, die man für die Netzwerke nutzen darf. Aber auch das VPN-Netzwerk wird doch Datenpakete verwerfen, wenn diese nicht dem passenden Netzwerk übereinstimmen.
Oder denke ich da vielleicht falsch.
Gruß
Zitat von @LordGurke:
Sowas macht man normalerweise direkt auf dem Switch. Da wird festgelegt an welchen physischen Switchports DHCP-Server betrieben werden dürfen, an unerlaubten Ports verwirft der Switch dann die Pakete.
Bei der Gelegenheit sollte man sowas dann auch für IPv6-RA konfigurieren, da hast du ein ähnliches Problem.
Hallo LordGurkeSowas macht man normalerweise direkt auf dem Switch. Da wird festgelegt an welchen physischen Switchports DHCP-Server betrieben werden dürfen, an unerlaubten Ports verwirft der Switch dann die Pakete.
Bei der Gelegenheit sollte man sowas dann auch für IPv6-RA konfigurieren, da hast du ein ähnliches Problem.
Aus dem Gedächnis:
Auf den Cisco Switch (IOX 17 / Gibraltar) wurde in meiner Praxis in der startup-config die IP Adressen des DHCP Servers Pools festgelegt. Der ist i.d.R. extern (WinServer / Infoblox (etc)). Gemäss Anleitung von Experten.
Kannst Du hier ein Big Picture zeichnen? Bzw. mit einem Mind Map das ganze visualisieren, so dass ich es einordnen kann? Danke für Deinen Aufwand!
Beste Grüsse
3 einfache Kommandos:
https://www.cisco.com/c/de_de/support/docs/ip/dynamic-host-configuration ...
https://www.computernetworkingnotes.com/ccna-study-guide/configure-dhcp- ...
Lesen und verstehen...
https://www.cisco.com/c/de_de/support/docs/ip/dynamic-host-configuration ...
https://www.computernetworkingnotes.com/ccna-study-guide/configure-dhcp- ...
Lesen und verstehen...
Wenn es das denn nun war bitte deinen Beitrag dann auch als erledigt markieren!
How can I mark a post as solved?
How can I mark a post as solved?