...
Dieses Dokument enthält Informationen zu den AbwehrmöglichkeitenMaßnahmen, der welche gegen die von Mathy Vanheof im Paper "Bypassing Tunnels: Leaking VPN Client Traffic by Abusing Routing Tables" (VU#563667) beschriebenen Angriffsmöglichkleiten "LocalNet"- Angriff" und "ServerIP"-Angriffe".Angriffe getroffen werden können. Die Angriffe werden zudem auf der Seite https://tunnelcrack.mathyvanhoef.com/ beschrieben.
Info |
---|
Bei den beschrieben beschriebenen Angriffen ist es wichtig zu erwähnen, dass diese den eigentlichen VPN-Tunnel nicht kompromittieren. Daten, die durch den einen VPN-Tunnel übertragen werden, sind nach wie vor sicher. Es wird vielmehr versucht, für den VPN-Tunnel bestimmten Datenverkehr vor dem Tunnel an ein anderes Ziel umzulenken, um ihn dann im Klartext mitlesen zu können . Hierzu muss ein potentieller Angreifer entweder Zugang zum lokalen Netzwerk besitzen oder mittels eines sog. "Rogue Access Point" einen Netzwerk-Client dazu verleiten sich mit einer dem Client bekannten SSID zu verbinden und diesem so zu suggerieren, er sei mit einem vertrauenswürdigen Access Point im lokalen Netzwerk verbunden. Auf dem Rogue Access Point kann der Angreifer dann entsprechende Modifikationen vornehmen um den Datenverkehr umzuleiten.oder als sog. Man-in-the-Middle zu operieren. In den beschriebenen Szenarien wird als Zugangsmedium ein Rogue Access Point verwendet, welcher einem WLAN Client suggeriert, dass er sich mit einer bekannten und vertrauenswürdigen SSID verbindet. Dieses Ziel wird in der Regel bei öffentlichen WLAN-Netzwerken am einfachsten erreicht. Auf dem vom Angreifer kontrollierten Access Point kann nun duch Zuweisung von IP-Adressen das Routing verändert werden, sodass der Datenverkehr entsprechend umgeleitet wirdDie Methode zum Einsatz von Rogue Access Points wird vorzugsweise in öffentlichen WLAN-Netzwerken angewendet. Auf dem Access Point wird dann in der Regel eine offene SSID (ohne Passwort) ausgestrahlt. |
Alle Angriffe und deren Varianten sind neben den Ausführungen im Paper auch in folgenden CVE-Meldungen detailliert beschrieben:
LocalNet-Angriff:
...
Info | ||||||
---|---|---|---|---|---|---|
In der Standard-Einstellung sind sowohl die Advanced VPN Clients für Windows- als auch für macOS anfällig für beide Angriffe (LocalNet und ServerIP). Detaillierte technische Informationen zu dieser Thematik haben wir in einem PDF-Dokument für Sie zusammengestellt:
|
1. LANCOM Advanced VPN Client für Windows
1.1 Gegenmaßnahmen gegen LocalNet-Angriffe
Beim LANCOM Advanced VPN Client für Windows kann der LocalNet-Angriff mit der Konfigurationsoption „Full Local Network Enclosure Mode“ / „Auch lokale Netze im Tunnel weiterleiten“ verhindert werden. Dadurch werden grundsätzlich alle Daten durch den VPN-Tunnel versendet.
Alternativ kann auch die im Advanced VPN Client integrierte Firewall so konfiguriert werden, dass ausschließlich VPN-Datenverkehr (Firewall-Option „IPsec-Protokoll zulassen“) zugelassen ist, mit dedizierten Ausnahmen für z.B. den Netzwerkdrucker im Homeoffice.
Info |
---|
Zu beachten ist, dass diese Firewall-Regeln zum unbemerkten Blockieren wichtiger Daten führen können ( CVE-2023-35838 ), hierfür sind separate Gegenmaßnahmen zu ergreifen. |
1.
...
2 Gegenmaßnahmen gegen ServerIP-Angriffe
Das Datenleck zu beliebigen IP-Adressen (CVE-2023-36673) kann dadurch verhindert werden, dass man in der VPN-Konfiguration den VPN-Server nicht mit einem Domainnamen, sondern mit einer IP-Adresse konfiguriert. Eine Nutzung von authentisierten DNS-Varianten (DNSSEC) ist momentan noch nicht möglich.
Zusätzlich kann man die integrierte Firewall des Windows-Clients so konfigurieren, dass außerhalb des VPN-Tunnels ausschließlich die für die VPN-Verbindung erforderlichen Protokolle zugelassen werden. Dies geschieht, indem man in der Firewall die Option „IPsec-Protokoll zulassen“ aktiviert und keine weiteren Firewall-Regeln definiert (siehe Abbildung in Schritt 1.1).
2. LANCOM Advanced VPN Client für macOS
...
Alternativ kann auch die Firewall eines Drittanbieters so konfiguriert werden, dass ausschließlich VPN-Datenverkehr zugelassen ist, mit dedizierten Ausnahmen für z.B. den Netzwerkdrucker im Homeoffice.
Info |
---|
Zu beachten ist, dass diese Firewall-Regeln zum unbemerkten Blockieren wichtiger Daten führen können ( CVE-2023-35838 ), hierfür sind separate Gegenmaßnahmen zu ergreifen. |
2.1 Gegenmaßnahmen gegen ServerIP-Angriffe
...