Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

Version 1 Nächste Version anzeigen »


Beschreibung:

In der Default-Einstellung sind sowohl die Windows- als auch die macOS-Clients anfällig für beide Angriffe (LocalNet und ServerIP).

Der Advanced VPN Client für Windows beinhaltet eine Firewall, die beide Angriffe abwehren kann. Dabei ist zu beachten, dass auch Pakete gedroppt werden können (LocalNet-Angriff 1.2, ServerIP Angriff 2.2.2). Zur Abwehr des LocalNet-Angriffs (1) kann auch der "Full Local Network Enclosure Mode" ("Auch lokale Netze in den Tunnel weiterleiten") aktiviert werden, der die Daten für das lokale Netz in den Tunnel leitet.

Auf macOS ist nur der "Full Local Network Enclosure Mode" zur Abwehr des LocalNet-Angriffs (1) verfügbar. Gegen einen ServerIP Angriff (2) kann eine extra Firewall,  z.B. die im Betriebssystem vorhandene, verwendet werden.

Informationen zur Abwehr der Angriffe


In den Advanced VPN Clients gibt es - abhängig von der Client Variante - zwei Konfigurationsoptionen zur Abwehr der Angriffe, den "Full Local Network Enclosure Mode" und die eingebaute Firewall. 

  • Den "Full Local Network Enclosure Mode" gibt es in den Windows- und macOS-Clients. Er verhindert die LocalNet -Angriffe (1). Er ist per Default ausgeschaltet und muss explizit in den Split-Tunnelling Einstellungen aktiviert werden. Die Konfiguration des NCP VPN-Clients kann auch über ein ini-File importiert werden. Dann muss darin die Option "UseTunnel = 1" gesetzt sein, um den "Full Local Network Enclosure Mode" einzuschalten.
  • Die "NCP-Firewall" ist nur auf Windows-Clients verfügbar. Die Firewall mindert das Risiko bei beiden Angriffen. Sie verhindert den LocalNet-Angriff (1.1) und die ServerIP-Angriffe (2.1) und (2.2.1), siehe unten. Per Default ist die Firewall ausgeschaltet. Sie muss eingeschaltet werden und entsprechende Regeln müssen konfiguriert werden. Zu diesem Zweck können die vordefinierten Regeln verwendet werden.


Details zu den Angriffen

1. LocalNet-Angriff (Abschnitt 4.1)

Hier werden Ausnahmeregeln für das Routing ins lokale Netz ausgenutzt.

Aufbau

Der Nutzer verbindet sich mit einem fremden Access-Point und bekommt als lokales Netz einen Adressbereich zugewiesen. Dieser Adressbereich wird vom Angreifer so gewählt, dass die IP-Adresse eines Ziel-Servers, den er überwachen will, darin enthalten ist. Das Ziel des Angreifers kann dabei sein: 

1.1 Datenverbindungen zum Ziel-Server zu registrieren, mitzulesen oder zu verfälschen. (Im Preprint Abschnitt "4.1.1 Leaking local traffic", CVE-2023-36672) oder

1.2 . Verbindungen zum Ziel-Server zu blockieren. (Im Preprint Abschnitt "4.1.2 Blocking traffic", CVE-2023-35838)

Verhalten des NCP VPN-Clients

Alle Windows- und macOS-Clients senden mit den Default-Einstellungen Daten am Tunnel vorbei ins lokale Netzwerk, wenn die Zieladresse im lokalen Netz liegt.  Daher sind die Clients für Angriff 1.1 anfällig.

NCP Empfehlung 


Der "Full Local Network Enclosure Mode" verhindert die Angriffe 1.1 und 1.2.

Im Windows-Client kann man die NCP-Firewall verwenden, um den Datenverkehr ins lokale Netz zu blockieren. Damit wird Angriff 1.1 abgewehrt,  zur Abwehr von Angriff 1.2 müsste man die Firewall-Logs regelmäßig kontrollieren. 

Im Preprint sind noch andere Abwehrmöglichkeiten beschrieben, z.B. das Verwenden von policy-based Routing oder einer extra Firewall.


2. ServerIP-Angriffe (Abschnitt 4.2)

Hier werden Ausnahmeregeln für das Routing der VPN-Daten zum VPN-Server ausgenutzt. Das Preprint beschreibt hier zwei unterschiedliche Angriffe.

2.1 Deanonymisierung

Erlaubt es das Routing, beliebige Pakete außerhalb des Tunnels zum VPN-Server zu schicken (also nicht nur den gewünschten IPsec-Traffic), dann ermöglicht dies einen Deanonymisierungsangriff. Der Angreifer platziert auf der Website, die überwacht werden soll, einen Link mit der IP-Adresse des VPN-Servers, z.B.  in einem Forum Post. Der Angreifer kann nun überwachen, wann der Nutzer die Website besucht. (Im Preprint Abschnitt "4.2.1 Leaking server IP traffic", CVE-2023-36671).

Verhalten der NCP VPN-Clients

Die NCP-Firewall ist in den Default-Einstellungen inaktiv, und in Folge werden alle Pakete zur IP-Adresse des VPN-Servers außerhalb des Tunnels verschickt. Daher sind die Windows- und macOS-Clients anfällig für den Angriff.


NCP Empfehlung 


Zur Abwehr des Angriffs kann, wie oben beschrieben, die NCP-Firewall im Windows-Client verwendet werden.

Im Preprint sind noch andere Abwehrmöglichkeiten beschrieben, z.B. das Verwenden policy-based routing oder von einer extra Firewall.


2.2 - DNS spoofing


Falls die IP-Adresse des VPN-Servers mit Hilfe von ungesichertem DNS aufgelöst wird, kann ein Angreifer dies Nutzen um dem VPN-Client eine falsche VPN-Server-Adresse zuzuweisen. Zusätzlich konfiguriert der Angreifer in seinem Access Point Address-Translation speziell für den VPN-Tunnel, so dass der Anwender diesen normal benutzen kann. Das Ziel des Angreifers kann dabei sein: 

2.2.1 Verbindungen zur vermeintlichen IP-Adresse des VPN-Servers werden am Tunnel vorbei aufgebaut. (Im Preprint Abschnitt "4.2.2 Leaking arbitrary traffic", CVE-2023-36673)

2.2.2 Verbindungen zur vermeintlichen IP-Adresse des VPN-Servers werden unbemerkt blockiert. (Im Preprint Abschnitt "4.2.3 Blocking traffic")


Verhalten der NCP VPN-Clients

NCP VPN-Clients erlauben ungesicherte DNS-Abfragen, daher ist es möglich, dass der Angreifer die IP-Adresse des VPN-Servers verfälscht. Die NCP-Firewall ist in den Default-Einstellungen inaktiv, und in Folge werden alle Verbindungen zur falschen IP-Adresse des VPN-Servers außerhalb des Tunnels aufgebaut. Wurde der VPN-Server mit einem Hostnamen konfiguriert, dann sind die Windows- und macOS-Clients anfällig für den Angriff.


NCP Empfehlung 


Der Angriff 2.2 kann nicht durchgeführt werden, falls der Tunnelendpunkt nicht mit einem Hostnamen, sondern mit einer IP-Adresse konfiguriert wurde.

Andernfalls sollte im Windows-Client, wie oben beschrieben die NCP-Firewall konfiguriert werden, um Datenverkehr außerhalb des Tunnels zum VPN-Server zu blockieren. Damit wird Angriff 2.2.1 abgewehrt,  zur Abwehr von Angriff 2.2.2 müsste man die Firewall-Logs regelmäßig kontrollieren. 

Im Preprint sind noch andere Abwehrmöglichkeiten beschrieben, z.B. das Verwenden einer extra Firewall oder das Verbieten von ungesichertem DNS.


Bewertung 


Der im Preprint beschriebene Fall, dass der Anwender anonym in Internet surfen will und die besuchten Webseiten geheim halten will, entspricht nicht dem typischen Enterprise-Szenario unserer Kunden. Diese verwenden die VPN-Verbindungen hauptsächlich, um sicher aufs Firmennetzwerk zugreifen zu können.

Im Homeoffice ist es oft gar nicht erwünscht, dass der gesamte Datenverkehr durch den Tunnel geroutet wird, weil z.B.  der Drucker im lokalen Netz weiterhin erreichbar sein soll oder ein direkter Internetzugang ohne Umweg über das Firmennetz realisiert werden soll.

Um den unterschiedlichen Sicherheitsanforderungen für Homeoffice und mobilen Einsatz gerecht zu werden empfiehlt NCP unterschiedliche Linkprofile zu verwenden. Zusätzlich kann man in den NCP-Firewall-Einstellungen auch das Feature "Home Zone" verwenden, um zwischen dem Heimnetz und öffentlichen Netzwerken zu unterscheiden.


Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH