1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Unix-artige Systeme: Sicherheitslücke…

Wie funktioniert die Verschlüsselung

  1. Thema

Neues Thema Ansicht wechseln


  1. Wie funktioniert die Verschlüsselung

    Autor: elcaron 07.12.19 - 08:38

    Mir ist zwar im Prinzip klar, dass Verschlüsselung und Authentifizierung was unterschiedliches sind. Aber im Endeffekt muss doch der Angreifer irgendiwe Pakete senden können, die kotrekt verschlüüselt sind. Hier steht nichts davon, dass die Verschlüsselung auch gebrochen wird und der Schlüssel bekannt. Wie geht das also?

  2. Re: Wie funktioniert die Verschlüsselung

    Autor: EWCH 07.12.19 - 11:07

    TCP-Verbindungen zu kapern ist an sich nichts Neues, aber damit ist
    die Verschluesselung nicht gebrochen.

    Ich habe eine Theorie was passieren koennte :

    Alle Netzwerk-Pakete existieren auf einem VPN-Gateway zweimal, einmal
    unverschluesselt und nochmal verschluesselt.
    Oftmals gibt es dafuer getrennte Netzwerkschnittstellen, z.B. ;

    eth0 - die erste Ethernet-Netzwerkkrate
    wg0 - die erste (virtuelle) Wireguard Netzwerkschnittelle

    Ein lokal erzeugtes Paket wird an wg0 gesendet, verschluesselt und dann
    per eth0 weitergeschickt an den Empfaenger.
    Zaehlt man nun die eth0 Pakete mit dann ist es eventuell moeglich ein dazu passendes
    unverschluesseltes Paket zu generieren. Dieses laesst sich zwar nicht direkt
    per Ethernet an wg0 schicken, aber darin scheint genau ein Problem zu liegen, denn
    die folgende Regel aus dem verlinkten Artikel verhindert genau das :

    iptables -t raw -I PREROUTING ! -i wg0 -d 10.182.12.8 -m addrtype ! --src-type LOCAL -j DROP

    Eventuell akzeptiert der Kernel ein unverschluesseltes Paket obwohl es von aussen kommt.

  3. Re: Wie funktioniert die Verschlüsselung

    Autor: damluk 07.12.19 - 11:28

    Der Angreifer muss keine verschlüsselten Pakete verschicken. Alles dreht sich darum, dass der Netzwerkstack Pakete auf allen Interfaces annimmt, solange die Ziel-IP-Adresse einem seiner Interfaces gehört ("non-strict rp_filter").

    Wenn man ohne VPN online ist, hat man mindestens eine IP-Adresse. Wählt man sich dann ins VPN ein, hat man i.d.R eine zusätzliche. Die erste ("äußere") braucht man weiterhin, um verschlüsselte Pakete zum VPN-Server zu schicken, die neue Adresse ist die getunnelte ("innere") IP-Adresse.
    Das Gesamzszenario setzt nun erstens voraus, dass ein Angreifer Pakete "von außen" an die "innere" IP-Adresse schicken kann, und zweitens die äußere Verbindung beobachten kann.

    Dazu müssen mehrere Dinge zusammenkommen. Es gibt Edge-Cases, in denen beide Punkte erfüllbar sind, selbst wenn der Angreifer nicht im gleichen (W)LAN wie das Opfer hängt, wenn aber beide im gleichen (W)LAN sind, vereinfacht es die Sache.

    In einem (W)LAN adressiert der Angreifer das Opfer mit seiner MAC-Adresse. Die Quell- und Ziel-IP-Adresse kann beliebig sein, der Switch oder der AP stellt das Paket zu, solange die Ziel-MAC-Adresse stimmt. Im non-strict rp_filter Modus, akzeptiert der Netzwerkstack Pakete an die "innere" IP-Adresse auf dem "äußeren" Netzwerkinterface und verarbeitet sie ganz regulär.

    In der ersten Phase des beschriebenen Angriffs nutzt der Angreifer seine normale (W)LAN-Adresse als Quell-IP. Für diese Phase ist es nicht notwendig zwischen dem VPN-Server und dem Opfer zu hängen. Die (W)LAN-Netzroute ist spezieller als die Default-Route über das VPN, so dass das Opfer dem Angreifer ganz regulär über das unverschlüsselte (W)LAN antworten wird.

    Das passive Lesen der verschlüsselten VPN-Pakete ist in den späteren Angriffsphasen nötig, nämlich wenn der Angreifer TCP-Pakete produziert, und dazu erzeugte Antwortpakete über den VPN-Tunnel geroutet werden. Dann lassen sich rein aus der Aktivität der äußeren VPN-Verbindung Rückschlüsse ziehen, ohne die Verschlüsselung aufzubrechen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Stadtwerke München GmbH, München
  2. über duerenhoff GmbH, München
  3. CITTI Handelsgesellschaft mbH & Co. KG, Kiel
  4. AKKA GmbH & Co. KGaA, Sindelfingen, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. 860 Evo 500 GB SSD für 74,99€, Portable T5 500 GB SSD 94,99€, Evo Select microSDXC 128...
  2. (u. a. 3er Pack Lüfter LL120 RGB für 102,90€, Crystal 680X RGB Gehäuse für 249,90€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervt
Nitropad im Test
Ein sicherer Laptop, der im Alltag kaum nervt

Das Nitropad schützt vor Bios-Rootkits oder Evil-Maid-Angriffen. Dazu setzt es auf die freie Firmware Coreboot, die mit einem Nitrokey überprüft wird. Das ist im Alltag erstaunlich einfach, nur Updates werden etwas aufwendiger.
Ein Praxistest von Moritz Tremmel und Sebastian Grüner

  1. Nitropad X230 Nitrokey veröffentlicht abgesicherten Laptop
  2. LVFS Coreboot-Updates sollen nutzerfreundlich werden
  3. Linux-Laptop System 76 verkauft zwei Laptops mit Coreboot

Generationenübergreifend arbeiten: Bloß nicht streiten
Generationenübergreifend arbeiten
Bloß nicht streiten

Passen Generation Silberlocke und Generation Social Media in ein IT-Team? Ganz klar: ja! Wenn sie ihr Wissen teilen, kommt am Ende sogar Besseres heraus. Entscheidend ist die gleiche Wertschätzung beider Altersgruppen und keine Konflikte in den altersgemischten Teams.
Von Peter Ilg

  1. Frauen in der Technik Von wegen keine Vorbilder!
  2. Arbeit Warum anderswo mehr Frauen IT-Berufe ergreifen
  3. Arbeit Was IT-Recruiting von der Bundesliga lernen kann

Mythic Quest: Spielentwickler im Schniedelstress
Mythic Quest
Spielentwickler im Schniedelstress

Zweideutige Zweckentfremdung von Ingame-Extras, dazu Ärger mit Hackern und Onlinenazis: Die Apple-TV-Serie Mythic Quest bietet einen interessanten, allerdings nur stellenweise humorvollen Einblick in die Spielebrache.
Eine Rezension von Peter Steinlechner

  1. Apple TV TVOS 13 mit Mehrbenutzer-Option erschienen

  1. Digitalsteuer: G20-Staaten wollen Einigung auf Steuerreform bis Ende 2020
    Digitalsteuer
    G20-Staaten wollen Einigung auf Steuerreform bis Ende 2020

    Nach Frankreich hat inzwischen auch Spanien eine nationale Digitalsteuer eingeführt. Bundesfinanzminister Scholz setzt dagegen trotz Widerstands der USA auf eine weltweite Reform des Steuersystems. Bis Ende 2020 soll es eine Einigung geben.

  2. Gigafactory Berlin: Der "Tesla-Wald" ist fast gefällt
    Gigafactory Berlin
    Der "Tesla-Wald" ist fast gefällt

    Trotz weiterer Baumbesetzungen ist der Wald für die geplante Gigafactory des US-Elektroautoherstellers Tesla so gut wie gefällt. Gegen die angeblich geforderte Aufhebung des Sonntagsfahrverbots für Elektro-Lkw dürfte es aber nicht nur in Grünheide Proteste geben.

  3. Bastelcomputer: Raspberry Pi fixt Problem mit USB-Adaptern
    Bastelcomputer
    Raspberry Pi fixt Problem mit USB-Adaptern

    Der Raspberry Pi 4 ließ sich ursprünglich nicht mit bestimmten USB-C-Netzteilen betreiben. Das Problem soll inzwischen behoben worden sein. Doch eine neue Revisionsnummer fehlt bislang.


  1. 17:37

  2. 17:08

  3. 14:41

  4. 12:29

  5. 12:05

  6. 15:33

  7. 14:24

  8. 13:37