...
Dieses Dokument enthält Informationen zu den Maßnahmen, welche gegen die von Mathy Vanheof im Paper "Leaking VPN Client Traffic by Abusing Routing Tables" (#VU563667) beschriebenen "LocalNet"- und "ServerIP"-Angriffe getroffen werden können.
...
Das Datenleck zu beliebigen IP-Adressen (CVE-2023-36673) kann dadurch verhindert werden, dass man in der VPN-Konfiguration den VPN-Server nicht mit einem Domainnamen, sondern mit einer IP-Adresse konfiguriert. Eine Nutzung von authentisierten DNS-Varianten (DNSSEC) ist momentan noch nicht möglich.
...
Alternativ kann auch die Firewall eines Drittanbieters so konfiguriert werden, dass ausschließlich VPN-Datenverkehr zugelassen ist, mit dedizierten Ausnahmen für z.B. den Netzwerkdrucker im Homeoffice.
| Info |
|---|
| Zu beachten ist, dass diese Firewall-Regeln zum unbemerkten Blockieren wichtiger Daten führen können (CVE-2023-35838), hierfür sind separate Gegenmaßnahmen zu ergreifen. |
2.1 Gegenmaßnahmen gegen ServerIP-Angriffe
...