1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Unix-artige Systeme: Sicherheitslücke…

kleine zusammenfassung...

  1. Thema

Neues Thema Ansicht wechseln


  1. kleine zusammenfassung...

    Autor: ymrdtnju 07.12.19 - 12:35

    das ganze problem hängt damit zusammen, dass linux und andere unix betriebssysteme pakete an lokale ip adressen auch dann annehmen und bearbeiten, wenn sie _nicht_ über das interface, an dem die lokale ip adresse konfiguriert ist, hereinkommen. dh, ein paket an die ip adresse, die am tunnel interface gebunden ist, wird auch dann angenommen, wenn es über das wlan interface kommt.

    windows und andere betriebssysteme wurden anscheinend tatsächlich nicht getestet oder es wurde bisher noch nichts darüber ausgesagt. ob sie verwundbar sind oder nicht, ist wohl noch unbekannt.

    tor ist davon nicht betroffen, weil es keinen tunnel auf layer 3 oder 4 aufbaut sondern auf layer 7. mit tor wird ganz einfach für den getunnelten verkehr der netzwerkstack des betriebssystems nicht verwendet. mit der verschlüsselung und authentifizierung im userspace hat das allerdings nichts zutun. wäre dem so, wäre auch openvpn sicher, da auch bei openvpn im gegensatz zu wireguard und ipsec die verschlüsselung und authentifizierung im userspace abläuft. openvpn verwendet allerdings tun oder tap interfaces und dementsprechend den netzwerkstack des betriebssystems und ist somit prinzipiell verwundbar.

    systemd hat hier keine schuld. systemd hat per sysctl eine zeit lang rp_filter auf einen wert größer 0 gesetzt. mittlerweile tut es das nicht mehr, was den angriff wohl begünstigt. allerdings ist der default des linux kernel ohne konfiguration schon 0. systemd trägt hier also keinerlei schuld.
    wichtig ist auch zu sagen, wie rp_filter funktioniert. es prüft nicht die ziel adresse sondern die absender adresse. kommt ein paket über ein interface herein, wird überprüft, ob mögliche antwortpakete auf dieses paket aufgrund dessen absender adresse auch wieder auf diesem interface verschickt würden. wenn dem nicht der fall ist, wird das hereinkommende paket verworfen. verwendet man also nun eine addresse aus dem wlan für die probe pakete, sollte der rp_filter hier nicht helfen, da diese ja auch wirklich über das wlan interface wieder hinausgehen würden.
    rp_filter kann probleme bei policy based routing machen, da diese policies nicht für die rp_filter entscheidung verwendet werden bzw. werden können. deshalb muss man es nicht selten abschalten. vor allem bei verwendung von vpns, da hier eben oft policy based routing im einsatz ist, um zu entscheiden, ob pakete innerhalb des tunnel zu verschicken sind oder außerhalb (die pakete des vpn protokolls selbst, dhcp für das wlan, ...). außerdem verwendet android policy based routing für die funktion, dass man für apps einschränken kann, dass manche apps nur über das vpn kommunizieren dürfen. das ganze funktioniert über die system user id, unter der die app läuft. rp_filter würde hier probleme machen, weil es ganz einfach diese information nicht hat.

    ungünstig im artikel geschrieben, geht es nicht darum, ob das vpn protokoll tcp verwendet oder nicht. das protokoll, das vom vpn selbst verwendet wird, ist vollkommen unbedeutend für den angriff. wireguard beispielsweise verwendet nur udp. ipsec verwendet weder udp noch tcp sondern läuft als teil von ip.

    ich hab bei meinem setup den angriff aufprobiert. er hat nicht funktioniert. wer es selbst testen will, hier gibt es die anleitung dazu: seclists.org | oss-sec | 2019 | q4 | 122 (die | durch slashes ersetzen...)
    nping ist teil von nmap.

  2. nachtrag

    Autor: ymrdtnju 07.12.19 - 12:57

    der angriff setzt auch nicht voraus, dass der vpn server kontrolliert wird. es setzt im allgemeinen voraus, dass der access point des wlans, über das man die verbindung aufbaut, unter der kontrolle des angreifers ist. theoretisch wäre es wohl auch möglich, den angriff als anderer wlan client auszuführen, allerdings ist die kommunikation unter wlan clients vor allem in öffentlichen wlans unterbunden. deshalb wird das dort so nicht funktionieren. der betreiber des wlans muss in den meisten fällen den angriff ausführen, da nur er die probe pakete losschicken kann.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. picturesafe media/data/bank GmbH, Hamburg
  3. MVTec Software GmbH, München
  4. SIZ GmbH, Bonn

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,32€
  2. (-40%) 32,99€
  3. 37,49€
  4. (-75%) 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Schräges von der CES 2020: Die Connected-Kartoffel
Schräges von der CES 2020
Die Connected-Kartoffel

CES 2020 Wer geglaubt hat, er hätte schon alles gesehen, musste sich auch dieses Jahr auf der CES eines Besseren belehren lassen. Wir haben uns die Zukunft der Kartoffel angesehen: Sie ist smart.
Ein Bericht von Martin Wolf

  1. Smart Lock Netatmo und Yale zeigen smarte Türschlösser
  2. Eracing Simulator im Hands on Razers Renn-Simulator bringt uns zum Schwitzen
  3. Zu lange Ladezeiten Ford setzt auf Hybridantrieb bei autonomen Taxis

Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

  1. 30 Jahre Champions of Krynn: Rückkehr ins Reich der Drachen und Drakonier
    30 Jahre Champions of Krynn
    Rückkehr ins Reich der Drachen und Drakonier

    Champions of Krynn ist das dritte AD&D-Rollenspiel von SSI, es zählt zu den Highlights der Gold-Box-Serie. Passend zum 30. Geburtstag hat sich unser Autor den Klassiker noch einmal angeschaut - und nicht nur mit Drachen, sondern auch mit dem alten Kopierschutz gekämpft.

  2. Beoplay E8 3.0: B&O verbessert seine Bluetooth-Hörstöpsel
    Beoplay E8 3.0
    B&O verbessert seine Bluetooth-Hörstöpsel

    B&O hat seine Bluetooth-Hörstöpsel Beoplay E8 das dritte Mal überarbeitet. Die True Wireless In-Ears sollen eine bessere Klangqualität und eine längere Akkulaufzeit erhalten. Zudem wird eine bessere Qualität bei Telefonaten versprochen und die Stöpsel wurden kleiner gemacht.

  3. Autos: Subaru will in 15 Jahren rein elektrisch fahren
    Autos
    Subaru will in 15 Jahren rein elektrisch fahren

    Der japanische Autohersteller Subaru plant, bis Mitte der 2030er Jahre alle Fahrzeuge elektrisch zu betreiben. In zehn Jahren sollen 40 Prozent aller Fahrzeuge elektrisch oder als Hybrid unterwegs sein.


  1. 08:59

  2. 08:48

  3. 08:26

  4. 07:39

  5. 07:30

  6. 17:20

  7. 17:07

  8. 16:45