Dosenöffner fürs VPN

Scheinbar kann der DHCP-Server (oder jemand der schneller antwortet) ein VPN im lokalen Netz knacken.

Zitate:

  • “Weder Nutzer noch VPN-Betreiber bekommen das mit.”
  • " es gewinnt, wer dem Nutzer am schnellsten eine IP-Adresse zuteilt. "
  • “– nur bei Android funktioniert der Angriff nicht, weil Android die DHCP-Option 121 ignoriert.”
  • “Ansonsten mag es gelingen, die VPN-Verbindung über klassische Firewall-Regeln abzusichern, sodass nicht über das VPN laufende Datenpakete weggeschmissen werden”

:footprints:
:us: :uk: https://forum.manjaro.org/t/can-opener-for-vpn/161124

Habe das auch gerade gelesen und mich gefragt, ob man die Option irgendwie per Konfiguration abstellen kann.
Ich bekam von mir keine Antwort auf die Frage, also habe ich Google gefragt, habe aber auf die schnelle nichts finden können.
Android ignoriert die Option ja offenbar auch - ist aber dort wohl nicht konfigurierbar sondern “ist halt so”.

2 Likes

Ich dachte auch, das wäre ganz sicher die einfachere Lösung als eine zusätzliche Firewall (Die das ganze nur komplexer und unübersichtlicher macht)

Notfalls dem DHCP-Client diese Option “abgewöhnen” (Weil “ist halt so” scheint ja auch gut zu funktionieren)

Man sieht, wie leicht man ein Sicherheitskonzept durch “harmlos” erscheinende “Optionen” völlig versenken kann.

:footprints:

As mentioned in the source - this is not a security issue -per se.

It is a valid configuration being abused.

There is an abundance of guides to how you setup your dhcp server to provide static routes to clients.

The fact that this valid system configuration is now classified with a CVE is complete nonsense to me.

Übersetzt mit DeepL.com (kostenlose Version)

Wie im Quelltext erwähnt, handelt es sich nicht um ein Sicherheitsproblem per se.

Es handelt sich um eine gültige Konfiguration, die missbraucht wird.

Es gibt eine Fülle von Anleitungen, wie Sie Ihren DHCP-Server so einrichten, dass er statische Routen für Clients bereitstellt.

Die Tatsache, dass diese gültige Systemkonfiguration nun mit einem CVE klassifiziert wird, ist für mich völliger Unsinn.

Ja, ich verstehe das.
Eine gemäß API vorgesehene korrekt implementierte Funtion ist kein BUG. Sicherheitsrelevant kann das trotzdem sein.

Das schließt aber nicht aus, dass “jemand” dafür gesorgt hat dass diese Funktion aufgenommen wurde mit dem hauptsächlichen Zweck, diese Funktion dazu zu nutzen, in VPNs einbrechen zu können. (Dass ich paranoid bin beweist nicht, dass sie nicht hinter mir her sind :wink: )

Im Ernst das hat für mich das selbe “potential” wie die GZ-Lücke. Harmlos versteckt, aber potent.


Yes I understand that.
A correctly implemented function provided for in the API is not a BUG. This can still be relevant to safety.

But that doesn’t rule out that “someone” caused this feature to be included with the primary purpose of using this feature to break into VPNs. (The fact that I’m paranoid doesn’t prove that they’re not after me :wink: )

Seriously, for me this has the same “potential” as the GZ gap. Harmlessly hidden, but potent.

:footprints: