TunnelVision und VPN...Gefahr für den VPN Zugang ins Heimnetz

[the other]

Moinsen,
beim Querlesen eben über diese Meldung gestolpert: https://www.heise.de/news/Tunnelvis...PNs-aushebeln-und-Daten-umleiten-9710188.html
Demnach kann ein gewiefter Angreifer den Datenverkehr Richtung VPN Tunnel (um zB im Hotel WLAN das eigene Netzwerk daheim erreichen zu können) per DHCP Option umleiten, so dass der dann vermeintlich verschlüsselte Datenverkehr mitgelesen werden kann.
Betroffen scheinen alle Betriebssysteme außer (ausgerechnet) Android.

Bekannt ist der "Trick" schon länger, allerdings beschreibt der Artikel in "gewohnter heise Manier" die Ergebnisse von zwei Sicherheitsforschern dahingehend...

 

[RudiP]

Ich war schon immer der Meinung, das VPN ein Sicherheitsrisiko ist.
Man stelle sich vor, irgendwer hat Schadsoftware auf mein Handy oder Tablet installiert.
Ich baue nun mit diesem Gerät eine Verbindung per VPN in mein heimisches Netzwerk auf und schwupps, ist der mit drin.

Die oben beschriebene Methode mag möglich sein, aber wie beschrieben funktioniert die nur dann, wenn der eigentliche DHCP Server keine Adressen mehr vergeben kann.
Gut, meine Fritzbox hat eine Funktion, mit der sie eine IP für eine gewisse Zeit für ein Gerät bereit hält. Meist ein paar Tage oder Wochen.
Keine Ahnung, ob man bei professionellen Routern einstellen kann, das wenn Verbindung weg, auch sofort die IP bzw. das Gerät gelöscht wird so das diese Verbindung gleich wieder neu vergeben werden kann.
Der Angriff beruht ja darauf, das dem DHCP Server irgendwann mal die zuteilbaren Adressen ausgehen. Gebe ich aber jede Adresse sofort wieder frei, wenn die Verbindung getrennt wird, gehen dem eigentlich nie die Adressen aus.
Und das jemand 200 und mehr Verbindungen gleichzeitig herstellen kann, wage ich zu bezweifeln bzw. lohnt den Aufwand kaum.
Ich kann damit ja nur Geräte Angreifen, die sich NACH DEM Angriff von mir anmelden wollen. Nur die landen ja auf meinem DHCP Server.
In einem Hotel, wo Morgen eine Sicherheitskonferenz abgehalten wird, mag sich so etwas lohnen, aber in einem Hotel, wo vorwiegend Touristen absteigen, ich denke eher nicht. Da findet der mögliche Hacker kaum was Interessantes.

 

[the other]

Moinsen,
äähh...

Ich war schon immer der Meinung, das VPN ein Sicherheitsrisiko ist.

Ironie?

Man stelle sich vor, irgendwer hat Schadsoftware auf mein Handy oder Tablet installiert.
Ich baue nun mit diesem Gerät eine Verbindung per VPN in mein heimisches Netzwerk auf und schwupps, ist der mit drin.

Spätestens wenn du am Abend nach Hause kommst und mit dem verseuchten Client ins eigene WLAN gehst...ist das alles egal. Dann springt der Wurm / Trojaner / whatever eben etwas kürzer und landet trotzdem im LAN...
Darum (um Schutz vor Malware des Clients) geht es ja auch nicht. Sondern darum, eine möglichst sichere und verschlüsselte Verbindung nach Hause aufzubauen, ggf. den gesamten Traffic darüber laufen zu lassen (etwa wenn du im Cafe sitzend credentials einer website eingibst). Ein verseuchter Client ist ein verseuchter Client, egal wie das Ding ins eigene Netz kommt... (Mobilfunk, fremdes WLAN mit / ohne VPN, eigenes WLAN)
Bessere Geräte bieten durchaus einen gewissen Schutz (dhcp snooping > https://de.wikipedia.org/wiki/DHCP-Snooping). Mit der Fritzbox alleine...eher nicht. Aber im eigenen Netzwerk baue ich ja auch keine Verbindung nach Hause per VPN auf.
Im fremden Netzwerk dagegen kann ich wenig bis gar nicht beeinflussen, was da sonst noch rumkreucht (manche Anwesenden haben ja schon daheim das Problem, harhar...)
Insofern: ist alles nicht neu, wie der Artikel ja sagt. Ich habe ausnahmsweise mal Glück (weil Android, ist ja ansonsten oft nicht so) und meine VPN Zugriffe nach Hause sind im Jahr an beiden Händen abzählbar. Oder eben per Mobilfunk (und VPN), wie im Artikel ja auch geschildert wird: fremde WLAN Netze meiden, wenn ein anderes OS vorhanden.

 

[RudiP]

Ironie?

Nein, nicht unbedingt. Wenn einer mein Gerät unter Kontrolle hat, mit dem ich via VPN in mein Heimnetz gehe, hat der quasi sofort Zugang zu so ziemlich allem. Und ich Glaube daran, das ein Mobilgerät leichter zu übernehmen ist, als der heimische PC, wo man doch eher mal Vorkehrungen trifft. Aber ne verseuchte App oder in einem Spiel mal zu schnell geklickt und auf eine Werbefläche getroffen, die Schad Code nachlädt, das passiert schneller, als man denkt.

Spätestens wenn du am Abend nach Hause kommst und mit dem verseuchten Client ins eigene WLAN gehst...ist das alles egal. Dann springt der Wurm / Trojaner / whatever eben etwas kürzer und landet trotzdem im LAN...

Da hast Du allerdings auch wieder recht.

 

[tiermutter]

Nur weil eine VPN Verbindung steht, sind ja noch längst nicht alle Wege offen und diese Wege müssten dem Schadcode auch bekannt sein... Da stehen also Verbindungsziele, Protokolle, Nutzernamen und Kennwörter (u.a.) im Wege.
Tatsächlich habe ich mir auf dem Rechner auch schon deutlich mehr Schadkram eingehandelt als auf dem Smartphone, aber das ist sicherlich auch eine Frage der Nutzung...

 

[RudiP]

Nur weil eine VPN Verbindung steht, sind ja noch längst nicht alle Wege offen

Deswegen schrieb ich wohl "so ziemlich allem"
Weißt Du, wieviel Geräte Du in deinem Netzwerk hast, die ohne Anmeldung angesprochen werden können ?
Weißt Du, ob es einen Trojaner fürs Handy gibt, der z.B. die Apps befallen kann, mit denen man diese Geräte steuert ?
Nein, ich mach mir da auch nicht so den Kopf drum, ob jemand meine Rollläden steuern kann oder das Licht an und aus machen kann.
Aber eventuell kann er ja Schadcode auf so ein Teil einschleusen und den gesamten Netzwerktraffic mitloggen und da hätte ich dann schon was dagegen.

und diese Wege müssten dem Schadcode auch bekannt sein

Nun, wenn er von einem Android System auf ein Windows System überspringen kann, traue ich ihm auch das zu.
Wenn ich so ein Programm schreiben würde, würde ich erst mal still im Hintergrund alle Geräte identifizieren, die so im Netzwerk sind. Dann Kontakt mit meinem Server aufnehmen und in der Datenbank schauen, ob es da schon was für gibt.
Und ich bin mir sicher, das Hacker da schon längst wissen, wie man eine WLAN Lampe knacken kann oder wie man die Smartlife App für seine Zecke einsetzen kann.

Da stehen also Verbindungsziele

Einfacher IP Scan und ich kenne schon nen haufen Ziele

Protokolle

TCP, UDP. Was gibt es noch wichtiges ?

Nutzernamen und Kennwörter

Wie gesagt, haben viele einfache Smart Home Geräte gar nicht.

Tatsächlich habe ich mir auf dem Rechner auch schon deutlich mehr Schadkram eingehandelt als auf dem Smartphone, aber das ist sicherlich auch eine Frage der Nutzung...

Definitiv. Auf meinen Smartphones oder Tablets hatte ich "meines Wissen nach" auch noch nie etwas. Kann aber auch daran liegen, das ich nen Virenscanner drauf laufen habe, alle Sicherheitsfunktionen aktiviert habe und mich auch ab und an mal Informiere, welche Apps den neuerdings als Verseucht erkannt wurden.
Zudem klicke ich möglichst auch auf keine Werbung in einem Spiel.
ABER, kann das jeder von sich zu 100% ausschließen, das ihm das ein oder andere nicht doch schon mal passiert ist ?

Verstehe mich nicht falsch. Ich nutze auch VPN, wenn ich mich von außen in mein Heimnetzwerk einwählen will.
Aber als DAS System hinzustellen, was absolut sicher und unknackbar ist, davon bin ich weit entfernt.
Es birgt Risiken und denen sollte man sich bewusst sein.

 

[blurrrr]

Es birgt Risiken und denen sollte man sich bewusst sein.

Das dürfte auch so ein Punkt sein... für die, die es wissen (und damit meine ich wirklich "wissen" und es "permanent" auf dem Schirm haben) ist das eine Sache - für andere, die damit normalerweise auch so ziemlich "nix" zu tun haben, ist es wieder eine ganz andere... hat man mal gehört, hat man genauso schnell wieder vergessen... wenn es knallt, sind die Augen dann halt groß. Lässt sich das dann noch leicht beheben (z.B. durch externe Dienstleister für ein paar Euronen), tut das zwar mal kurzzeit weh, ist aber wie Pflaster abreissen - tut mal kurz weh, ist nächste Woche auch schon wieder vergessen. Das BSI hat ja auch zig Publikationen zu div. Themen, die liest sich nur kaum wer durch... Warum? Weil niemand danach schaut... Warum? Weil es schlussendlich doch wieder niemanden interessiert... Ein Teufelskreis...

Gab ja mal diesen "Internet-Führerschein"... Sowas sollte man eigentlich für die generelle Nutzung von irgendwelchen Clients einführen und zwar VOR der Benutzung (halt wie beim KFZ-Führerschein). Hatte irgendwo am Rande mal etwas mitbekommen, dass es in Schulen und so dann halt auch irgendwas in Richtung Informatik geben sollte, denke aber eher nicht, dass man da entsprechenden Umgang lernt, da gibt es vermutlich eher die fancypancy-Dinge (also das, was früher mal "Snake programmieren" war oder so)... kurzum: wieder nix gelernt.

Abgesehen natürlich von den heutigen pädagogischen Erziehungsmaßennahmen bzgl. der Smartphone-Nutzung, aber das ist halt auch ein weites Feld und da bleibt halt für "Klick nicht auf jeden Mist!" auch nicht wirklich Zeit (man vermittelt ja keine Dinge, von denen man selbst nix wissen will ). Allerdings: Die Zeit wird's richten... lasst mal noch 10-20 Jahre weiter machen... dann machen wir am Rechner eh nix mehr, erzählen alles nur noch der sprachgesteuerten KI und dann können wir auch einfach nix falsches mehr "anklicken". Läuft! Ich bin da ganz zuversichtlich - alles wird besser, alles wird gut! (Ihr müsst halt nur ganz fest daran glauben! )

Btw wenn es alle immer richtig machen... wäre doch auch irgendwie langweilig, oder?