@DaWoDerPfeffer aber müsste der Angreifer für den LocalNet-Angriff nicht eine private IP aus dem VPN-Netz kennen, in das ich eingewählt bin, damit er Traffic umleiten kann?
Und für den ServerIP-Angriff muss der Angreifer das VPN-Gateway kennen, um die IP zu spoofen?
Also doch alles halb so wild?
Ganz davon abgesehen, dass zertifikatsbasiertes VPN gar nicht erwähnt wird, sodass VPNs aus privaten CAs auch sicher sein müssten?!
@exilsoester
So wie ich es verstehe ist der Trick ist nicht, den VPN-Server zu impersonaten (das würde Brechen der Crypto/Zertifikate erfordern), sondern den Client dazu zu bringen, alles am VPN vorbei zu routen, indem man das lokale Netz (per DHCP?) als das gesamte Internet umfassend deklariert. Und das funktioniert, weil die VPN-Client-Software das lokale Netz von ihrer Route ins VPN ausnimmt.
@guenther Ich sehe das bei vernünftig aufgesetzten, zertifikatsbasierten Firmen-VPNs nicht kritisch.
Kann gut sein, dass das bei diesen Internet-VPN-Anbietern nen Problem ist. Aber ich sehe echt kein großes Gefahrenpotential.
@DaWoDerPfeffer
@guenther Nehmen wir mal ne vernünftige zertifikatsbasierte VPN an, bei der jeder Client ein eigenes /31-Netz kriegt. Der Angreifer müsste also sich erfolgreich mit Zertifikat als VPN-Gateway ausgeben, dann noch genau das Mini-Netz erraten, welches der Client bekommt, um da irgendwie Traffic umleiten zu können.
@DaWoDerPfeffer
Das kritische ist nicht das Netz, das der Client vom VPN-Server bekommt, sondern das, das er vom lokalen DHCP-Server (öffentlicher WLAN-Router, etc.) bekommt. Der böse Router sagt dem Client dann per DHCP "hier bitte haste ne IP in dieser public range, netzmaske ist /0" und dann denkt die Routingtable des Clients bei jeder Verbindung, die er aufmacht, "oh geil, ist ja im lokalen Netz, dann schick ich das direkt per wlan0 statt wg0".
@guenther @exilsoester @DaWoDerPfeffer
Die Grundlage ist doch, dass man in ein manipuliertes (nicht vertrauenswürdiges) Wi-Fi getrickstert wird - "EvilStarbucks" oder so - das dem dem Client vormacht, es handele sich um bei der IP der Bank Website um eine lokale IP (für die VPN meist umgangen wird).
Für Firmen-VPN sehe ich kein Problem, aber die Kommerzdinger machen ja gerade Werbung mit "Schutz in öffentlichen WLANs"
Wobei diese Werbung halt Scharlatanerie ist, weil sie verschweigt, dass "die Bankwebsite" und jeder seriöse Webdienst spätestens seit der Erfindung von Letsencrypt vor zehn (?) Jahren sowieso HTTPS macht.
Bei irgendwelchen firmeninternen Diensten sähe ich da eher die Gefahr, dass man sich evtl. HTTPS gespart hat nach dem Motto "das VPN macht ja schon die Transportverschlüsselung".
Sebastian Jahnz
guenther
forgrindan