andreas65m
May 09, 2024, updated at 09:49:36 (UTC)
view1463
view8
0
Goto Top

Tunnelvision Angreifer können VPNs aushebeln

GermanQuestionDNS
Hallo,

seit einige Tagen schwirrt nun die Nachricht durchs Netz, dass VPNs via falsche dhcp Parameter durch Angreifer ausgehebelt werden können.

https://www.heise.de/news/Tunnelvision-Angreifer-koennen-VPNs-aushebeln- ...

Das Problem ist nicht neu, aber wohl nicht nur auf VPNs beschränkt. Wenn es einem Angreifer gelingt in einem Netz dhcp Pakete zu verschicken, dann kann er wohl jedweden Verkehr, welcher das Netz in dem er sich befindet verlässt, umleiten..

Gibt es eures Wissens in Windows die Möglichkeit die Clients so einzustellen, dass dhcp-Pakete oder zumindest bestimmte Optionen, nur von einer bestimmten Quelle akzeptiert werden?
Wäre eine Windows-Firewall Regel eine Möglichkeit?

Grüße
Andreas
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 81952446760

Url: https://administrator.de/contentid/81952446760

Printed on: May 20, 2024 at 03:05 o'clock

8 Comments
Latest comment
Goto Top
Member: LordGurke
LordGurke May 09, 2024 updated at 09:49:50 (UTC)
Goto Top
Sowas macht man normalerweise direkt auf dem Switch. Da wird festgelegt an welchen physischen Switchports DHCP-Server betrieben werden dürfen, an unerlaubten Ports verwirft der Switch dann die Pakete.
Bei der Gelegenheit sollte man sowas dann auch für IPv6-RA konfigurieren, da hast du ein ähnliches Problem.

Das hilft nicht nur gegen böswillige Angreifer sondern auch gegen versehentliches Einbringen von ungewollten DHCP- und RA-Servern.

Am Client kannst du da wenig machen, da du (in öffentlichen Netzen) überhaupt nicht weißt welche IP- und MAC-Adresse der autoritative DHCP-Server dort hat.

Und für Hotel-WLANs gilt: Wenn ich dem Netz nicht vertraue, aber eine halbwegs vertrauenswürdige Umgebung brauche, dann nutze ich das WLAN nicht sondern nehme eine Verbindung über Mobilfunk.
Wem das zu viel Datenvolumen ist, hat dann halt nicht den richtigen Tarif für sein Business.
heart4
Member: MayBeSec
MayBeSec May 09, 2024 at 10:20:27 (UTC)
Goto Top
Du kannst bei den jeweiligen Clients unabhängig des OS mit den dort verfügbaren Firewall eine Regel anlegen mit "blocke alles" und dann eine mit den zugelassenen Gateways für das Tunnelinterface.

Dann bliebe nur noch iOS zu klären, bei Android wird Option 121 sowieso ignoriert.
heart1
Member: aqui
aqui May 09, 2024 at 10:38:12 (UTC)
Goto Top
Das vom Kollegen @LordGurke vorgeschlagene DHCP Snooping ist aber die deutlich sinnvollere Lösung und üblicherweise auch "Best Practise" in allen gut konfigurierten Netzen!
Member: LordGurke
LordGurke May 09, 2024 at 11:16:00 (UTC)
Goto Top
Danke, aber für unvertraute Netze finde ich die Lösung von MayBeSec nicht schlecht. Ich hatte auch nur daran gedacht irgendwie die fehlerhaften DHCP-Infos zu filtern, aber ausgehend den Traffic zu regulieren ist auch eine gute Lösung. Geht allerdings nur, wenn man kein Split-Tunneling vorhat, wobei man dann die Firewallregeln notfalls auch auf die im VPN verwendeten Netze eingrenzen könnte.
Member: MayBeSec
MayBeSec May 09, 2024 at 11:47:38 (UTC)
Goto Top
Grundsätzlich stimme ich dir zu @aqui

Aber das eigene interne Netz stellt mE sowieso nicht das Problem dar, da selbst dann, wenn per einem "illegalen" DHCP-Server ein weiteres Gateway verteilt würde es nicht wirklich viel brächte, außer der Angreifer hätte sowieso schon einen Empfänger im internen Netz dafür platziert. Daten aus dem internen in externe Netze dürfte in der Regel scheitern in gut konfigurierten Netzen.

Das Hauptproblem besteht also in der Tat bei unbekannten Netzen über die dann ein VPN oder andere Verbindungen aufgebaut werden sollen.

Oder übersehe ich etwas?
Member: Headcrach
Headcrach May 09, 2024 at 15:18:37 (UTC)
Goto Top
Moin,

mal eine Verständnisfrage von einem Anfänger.

Wie soll den der Angreifer die IP-Adresse des Netzwerkes wissen, was er vielleicht infiltrieren will?
Ja, es gibt die Bereiche, die man für die Netzwerke nutzen darf. Aber auch das VPN-Netzwerk wird doch Datenpakete verwerfen, wenn diese nicht dem passenden Netzwerk übereinstimmen.

Oder denke ich da vielleicht falsch.

Gruß
heart1
Member: PeterGyger
PeterGyger May 13, 2024 at 12:39:23 (UTC)
Goto Top
Zitat von @LordGurke:

Sowas macht man normalerweise direkt auf dem Switch. Da wird festgelegt an welchen physischen Switchports DHCP-Server betrieben werden dürfen, an unerlaubten Ports verwirft der Switch dann die Pakete.
Bei der Gelegenheit sollte man sowas dann auch für IPv6-RA konfigurieren, da hast du ein ähnliches Problem.

Hallo LordGurke

Aus dem Gedächnis:
Auf den Cisco Switch (IOX 17 / Gibraltar) wurde in meiner Praxis in der startup-config die IP Adressen des DHCP Servers Pools festgelegt. Der ist i.d.R. extern (WinServer / Infoblox (etc)). Gemäss Anleitung von Experten.

Kannst Du hier ein Big Picture zeichnen? Bzw. mit einem Mind Map das ganze visualisieren, so dass ich es einordnen kann? Danke für Deinen Aufwand!

Beste Grüsse
Member: aqui
aqui May 18, 2024 updated at 11:05:39 (UTC)
Goto Top
3 einfache Kommandos:
https://www.cisco.com/c/de_de/support/docs/ip/dynamic-host-configuration ...
https://www.computernetworkingnotes.com/ccna-study-guide/configure-dhcp- ...
Lesen und verstehen... face-wink
GermanQuestionDNS
Hotly discussed
fireflyWindows zero-day vulnerability CVE-2024-30051fireflyhempelVMware Desktop Hypervisor Pro Apps now available free for personal usehempel