andreas65m
Goto Top

Tunnelvision Angreifer können VPNs aushebeln

Hallo,

seit einige Tagen schwirrt nun die Nachricht durchs Netz, dass VPNs via falsche dhcp Parameter durch Angreifer ausgehebelt werden können.

https://www.heise.de/news/Tunnelvision-Angreifer-koennen-VPNs-aushebeln- ...

Das Problem ist nicht neu, aber wohl nicht nur auf VPNs beschränkt. Wenn es einem Angreifer gelingt in einem Netz dhcp Pakete zu verschicken, dann kann er wohl jedweden Verkehr, welcher das Netz in dem er sich befindet verlässt, umleiten..

Gibt es eures Wissens in Windows die Möglichkeit die Clients so einzustellen, dass dhcp-Pakete oder zumindest bestimmte Optionen, nur von einer bestimmten Quelle akzeptiert werden?
Wäre eine Windows-Firewall Regel eine Möglichkeit?

Grüße
Andreas

Content-ID: 81952446760

Url: https://administrator.de/forum/tunnelvision-angreifer-koennen-vpns-aushebeln-81952446760.html

Ausgedruckt am: 27.12.2024 um 01:12 Uhr

LordGurke
Lösung LordGurke 09.05.2024 aktualisiert um 11:49:50 Uhr
Goto Top
Sowas macht man normalerweise direkt auf dem Switch. Da wird festgelegt an welchen physischen Switchports DHCP-Server betrieben werden dürfen, an unerlaubten Ports verwirft der Switch dann die Pakete.
Bei der Gelegenheit sollte man sowas dann auch für IPv6-RA konfigurieren, da hast du ein ähnliches Problem.

Das hilft nicht nur gegen böswillige Angreifer sondern auch gegen versehentliches Einbringen von ungewollten DHCP- und RA-Servern.

Am Client kannst du da wenig machen, da du (in öffentlichen Netzen) überhaupt nicht weißt welche IP- und MAC-Adresse der autoritative DHCP-Server dort hat.

Und für Hotel-WLANs gilt: Wenn ich dem Netz nicht vertraue, aber eine halbwegs vertrauenswürdige Umgebung brauche, dann nutze ich das WLAN nicht sondern nehme eine Verbindung über Mobilfunk.
Wem das zu viel Datenvolumen ist, hat dann halt nicht den richtigen Tarif für sein Business.
11020714020
Lösung 11020714020 09.05.2024 um 12:20:27 Uhr
Goto Top
Du kannst bei den jeweiligen Clients unabhängig des OS mit den dort verfügbaren Firewall eine Regel anlegen mit "blocke alles" und dann eine mit den zugelassenen Gateways für das Tunnelinterface.

Dann bliebe nur noch iOS zu klären, bei Android wird Option 121 sowieso ignoriert.
aqui
aqui 09.05.2024 um 12:38:12 Uhr
Goto Top
Das vom Kollegen @LordGurke vorgeschlagene DHCP Snooping ist aber die deutlich sinnvollere Lösung und üblicherweise auch "Best Practise" in allen gut konfigurierten Netzen!
LordGurke
LordGurke 09.05.2024 um 13:16:00 Uhr
Goto Top
Danke, aber für unvertraute Netze finde ich die Lösung von MayBeSec nicht schlecht. Ich hatte auch nur daran gedacht irgendwie die fehlerhaften DHCP-Infos zu filtern, aber ausgehend den Traffic zu regulieren ist auch eine gute Lösung. Geht allerdings nur, wenn man kein Split-Tunneling vorhat, wobei man dann die Firewallregeln notfalls auch auf die im VPN verwendeten Netze eingrenzen könnte.
11020714020
11020714020 09.05.2024 um 13:47:38 Uhr
Goto Top
Grundsätzlich stimme ich dir zu @aqui

Aber das eigene interne Netz stellt mE sowieso nicht das Problem dar, da selbst dann, wenn per einem "illegalen" DHCP-Server ein weiteres Gateway verteilt würde es nicht wirklich viel brächte, außer der Angreifer hätte sowieso schon einen Empfänger im internen Netz dafür platziert. Daten aus dem internen in externe Netze dürfte in der Regel scheitern in gut konfigurierten Netzen.

Das Hauptproblem besteht also in der Tat bei unbekannten Netzen über die dann ein VPN oder andere Verbindungen aufgebaut werden sollen.

Oder übersehe ich etwas?
Headcrach
Headcrach 09.05.2024 um 17:18:37 Uhr
Goto Top
Moin,

mal eine Verständnisfrage von einem Anfänger.

Wie soll den der Angreifer die IP-Adresse des Netzwerkes wissen, was er vielleicht infiltrieren will?
Ja, es gibt die Bereiche, die man für die Netzwerke nutzen darf. Aber auch das VPN-Netzwerk wird doch Datenpakete verwerfen, wenn diese nicht dem passenden Netzwerk übereinstimmen.

Oder denke ich da vielleicht falsch.

Gruß
PeterGyger
PeterGyger 13.05.2024 um 14:39:23 Uhr
Goto Top
Zitat von @LordGurke:

Sowas macht man normalerweise direkt auf dem Switch. Da wird festgelegt an welchen physischen Switchports DHCP-Server betrieben werden dürfen, an unerlaubten Ports verwirft der Switch dann die Pakete.
Bei der Gelegenheit sollte man sowas dann auch für IPv6-RA konfigurieren, da hast du ein ähnliches Problem.

Hallo LordGurke

Aus dem Gedächnis:
Auf den Cisco Switch (IOX 17 / Gibraltar) wurde in meiner Praxis in der startup-config die IP Adressen des DHCP Servers Pools festgelegt. Der ist i.d.R. extern (WinServer / Infoblox (etc)). Gemäss Anleitung von Experten.

Kannst Du hier ein Big Picture zeichnen? Bzw. mit einem Mind Map das ganze visualisieren, so dass ich es einordnen kann? Danke für Deinen Aufwand!

Beste Grüsse
aqui
aqui 18.05.2024 aktualisiert um 13:05:39 Uhr
Goto Top
aqui
aqui 25.05.2024 um 14:20:24 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Beitrag dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?