Versionen im Vergleich

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Dieses Dokument enthält Informationen zu den Maßnahmen, welche gegen die von Mathy Vanheof im Paper "Bypassing Tunnels: Leaking VPN Client Traffic by Abusing Routing Tables" (#VU563667VU#563667) beschriebenen "LocalNet"- und "ServerIP"-Angriffe getroffen werden können. Die Angriffe werden zudem auf der Seite https://tunnelcrack.mathyvanhoef.com/ beschrieben. 

Info

Bei den beschrieben beschriebenen Angriffen ist es wichtig zu erwähnen, dass diese den eigentlichen VPN-Tunnel nicht kompromittieren. Daten, die durch den einen VPN-Tunnel übertragen werden, sind nach wie vor sicher.

Es wird vielmehr versucht, für den VPN-Tunnel bestimmten Datenverkehr vor dem Tunnel an ein anderes Ziel umzulenken, um ihn dann im Klartext mitlesen zu können .

Dies kann bei dem von unseren Kunden in der Regel verwendeten Anwendungs-Szenario (sicherer VPN Client-Zugang z.B. vom Heim-Netzwerk ins Firmen-Netzwerk) nur gelingen, wenn ein Angreifer neben dem Zugang zum lokalen Netzwerk, in welchem sich der VPN Client gerade befindet, auch Zugang zu dem (Firmen)-Netzwerk besitzt, in welches sich der VPN-Tunnel verbindet.

Daher sind z.B. VPN Client-Verbindungen, welche ein Unternehmen nutzt, um ihren Mitarbeitern einen sicheren Zugang zum Firmen-Netzwerk zu ermöglichen, eher weniger von den beschriebenen Angriffen betroffen.

oder als sog. Man-in-the-Middle zu operieren.

In den beschriebenen Szenarien wird als Zugangsmedium ein Rogue Access Point verwendet, welcher einem WLAN Client suggeriert, dass er sich mit einer bekannten und vertrauenswürdigen SSID verbindet. Dieses Ziel wird in der Regel bei öffentlichen WLAN-Netzwerken am einfachsten erreicht.

Auf dem vom Angreifer kontrollierten Access Point kann nun duch Zuweisung von IP-Adressen das Routing verändert werden, sodass der Datenverkehr entsprechend umgeleitet wirdIn öffentlichen (WLAN)-Netzwerken und/oder bei Nutzung öffentlicher VPN-Server stellen diese Angriffsmöglichkeiten jedoch eine Gefahr dar, weshalb dort die in diesem Dokument beschriebenen Gegenmaßnahmen immer durchgeführt werden sollten.

Alle Angriffe und deren Varianten sind neben den Ausführungen im Paper auch in folgenden CVE-Meldungen beschrieben:

...

Info

In der Standard-Einstellung sind sowohl die Advanced VPN Clients für Windows- als auch für macOS anfällig für beide Angriffe (LocalNet und ServerIP).

Detaillierte technische Informationen zu dieser Thematik haben wir in einem PDF-Dokument für Sie zusammengestellt:

View file
nameStellungnahme_VPN-Leaks TunnelCrack Schwachstellen (VU#563667).pdf
height150400

1. LANCOM Advanced VPN Client für Windows

...

Zusätzlich kann man die integrierte Firewall des Windows-Clients so konfigurieren, dass außerhalb des VPN-Tunnels ausschließlich die für die VPN-Verbindung erforderlichen Protokolle zugelassen werden. Dies geschieht, indem man in der Firewall die Option „IPsec-Protokoll zulassen“ aktiviert und keine weiteren Firewall-Regeln definiert (siehe Abbildung in Schritt 1.1).


2. LANCOM Advanced VPN Client für macOS

...