- Круто, спасибо за информацию , tcpip (??), 11:31 , 07-Май-24 (1)
Круто, спасибо за информацию.
- при наличии доступа к локальной сети перестал дальше читать, лол, КО (?), 12:04 , 07-Май-24 (12) +13 [^]
- да пусть даже доступ будет Современные энтерпрайз давно умеют отсекать неавтори, Анониматор (?), 12:20 , 07-Май-24 (21) +3
- Я сначала также подумал, но, с другой стороны VPN часто рекламируют как способ о, Анонимус3000 (?), 12:42 , 07-Май-24 (25) +8 [^]
- Это история про провайдеров, когда роутер провайдерский , Аноним (29), 12:55 , 07-Май-24 (29)
- А в чем проблема Допустим у тебя есть роутер с впном, есть праводер которому эт, Аноним (-), 21:43 , 07-Май-24 (55)
- А зря, сеть до провайдера - тоже LAN, а адреса он обычно раздает по DHCP , fi (ok), 17:35 , 08-Май-24 (102) +1
- Сразу хотелось бы вставить часть комментария с HN They also claim that it affec, Bklrexte (ok), 11:31 , 07-Май-24 (2)
Сразу хотелось бы вставить часть комментария с HN: "They also claim that it affects all VPN clients in the headline, yet so many such clients setup firewall rules to block traffic to/from the physical interface as they acknowledge in the write-up. Most of the VPNs that are claiming to hide your identity or where such cloaking is important tend to implement that. I'm sure plenty of setups don't have it enabled by default, but I think it would have been productive to document what percentage of leading personal/commercial and corporate VPN solutions have this enabled by default."Если коротко, то у большинства нормальных VPN клиентов по умолчанию есть firewall, который делает эту атаку невозможной.
- Не использовать DHCP, а юзать статические IP адреса Не вариант , Аноним (3), 11:34 , 07-Май-24 (3) –1
Не использовать DHCP, а юзать статические IP адреса. Не вариант?
- причем в url ах тоже, а еще надо помнить мак шлюза, чтобы арп не подставили, вот, Аноним (23), 12:40 , 07-Май-24 (23)
- 2 чая Если получил контроль над DHCP в локалке - так там до VPN-а можно всё у, 1 (??), 13:35 , 07-Май-24 (32) +1
- Не вариант, когда у тебя больше двух хостов А в современном жилье их даже у стар, Ivan_83 (ok), 22:57 , 07-Май-24 (61)
- Можно юзать dhcp и игнорировать все получаемые маршруты dns ы с сетевых интерфей, Бум (?), 18:40 , 10-Май-24 (128)
- Объясните 822 о 822 в 822 о 822 щ 822 у 822 не шарящему в сетях, провай, Аноним (6), 11:41 , 07-Май-24 (6)
Объясните ̶о̶в̶о̶щ̶у̶ не шарящему в сетях, провайдер может ̶з̶о̶н̶д̶и̶р̶о̶в̶а̶т̶ь̶ ̶м̶о̶й̶ ̶а̶н̶у̶ перехватить мой траффик гоняемый по OpenVPN'у?
- провайдер не может а чел который там работает может , Аноним (19), 12:17 , 07-Май-24 (19) +1
- Читать шифрованные пакеты да, дешифровывать их нет и никогда не сможет Замедлят, cheburnator9000 (ok), 12:19 , 07-Май-24 (20) +1
- Если ты к впн подключаешься напрямую без роутера или через роутер которым управл, Аноним (42), 14:56 , 07-Май-24 (42)
- В определенных условиях и допущениях, как оказывается, таки может попробовать , Аноним (-), 21:45 , 07-Май-24 (56)
- Чувак, у тебя проблема не техническая а административная Перехват твоего трафика, Ivan_83 (ok), 22:59 , 07-Май-24 (62) +1
- Если например это роутер в гостинице и к нему подключился клиент, клиент получае, fidoman (ok), 18:22 , 08-Май-24 (103)
- Просто отключить DHCP, не , Аноним (7), 11:43 , 07-Май-24 (7) +1
>Для защиты от атаки можно запретить на уровне пакетного фильтра отправку пакетов, адресованных в VPN-интерфейс, через другие сетевые интерфейсы; блокировать DHCP-пакеты с опцией 121; использовать VPN внутри отдельной виртуальной машины (или контейнера), изолированной от внешней сети, или применять специальные режимы настройки туннелей, использующие пространства имён в Linux (network namespace). Просто отключить DHCP, не?
- Ты так популярно объяснил почему в моей конфиге эта атака не сработает , Аноним (-), 21:47 , 07-Май-24 (57)
- И бегать настраивать по десяткам девайсов Лучше купите веб смарт свитч и настрой, Ivan_83 (ok), 23:00 , 07-Май-24 (63)
- Да, настроить 1 раз по десятку устройств, и потом не париться о упавшем DHCP-се, Аноним (75), 02:27 , 08-Май-24 (75)
- У меня dnsmasq ни разу ни где не падал А вообще, в локалке может быть куча DHCP , Ivan_83 (ok), 04:23 , 08-Май-24 (80)
- Зато у меня на OpenWRT падает постоянно Потому что превратили прошивку в раздут, Аноним (96), 11:06 , 08-Май-24 (94)
- и при соединении по вайфай, если адрес не задан статически, то на несколько секу, Аноним (96), 11:09 , 08-Май-24 (95)
- Это оффтопик http netlab dhis org wiki software openwrt software openwrt softw, Ivan_83 (ok), 13:09 , 08-Май-24 (100)
- Ну так сделали эрзац системды - да еще в наихучшем виде, когда jail процесс от, Аноним (-), 19:17 , 09-Май-24 (120)
- все современные протоколы VPN используют дэйтаграммы, а не TCP для wg0 эта атака, Аноним (7), 11:51 , 07-Май-24 (9)
>socketвсе современные протоколы VPN используют дэйтаграммы, а не TCP. >tun0 для wg0 эта атака тоже должна работать. Фундаментальный дефект дизайна реализации VPN - это их работа через общую таблицу маршрутизации, а не через многоуровневую, где чем раньше пакет обрабатывается таблицей - тем приоритетнее та таблица.
- Я чайник в сетях, поэтому мне не понятно 1 почему 0 имеет меньший приоритет, ч, Аноним (7), 11:54 , 07-Май-24 (10) +3
>Перенаправление осуществляется через выставления серии маршрутов для подсетей с префиксом /1, которые имеют более высокий приоритет, чем применяемый по умолчанию маршрут с префиксом /0 (0.0.0.0/0)Я чайник в сетях, поэтому мне не понятно: 1. почему /0 имеет меньший приоритет, чем /1, но больший, чем /24? 2. А если самим указывать /1 2 раза, то что будет?
- Не парься, все годные закладки в железе , Аноним (14), 12:06 , 07-Май-24 (14) +1
- 1 При выборе маршрута берется наиболее совпадающий маршрут маска 24 означает ч, MEXAHOTABOP (ok), 12:10 , 07-Май-24 (17) +1
- Ничего не понял 1 Если 24 приоритетнее, чем 0, то почему при врубании VPN с 0, Аноним (7), 12:37 , 07-Май-24 (22)
- Т е перед тем как выдать ИПшник, ДХЦП еще и скорость мерит Или даже гонка, кто, OpenEcho (?), 23:40 , 07-Май-24 (73)
- Поиск идёт по самому длинному префиксу Самым приоритетным будет 32, потом 31 и, Ivan_83 (ok), 23:11 , 07-Май-24 (65) +1
- Потому что это все, что не указанно эксплицитли, 1 - это уже более конретней, з, OpenEcho (?), 23:36 , 07-Май-24 (72)
- Мощно , Аноним (13), 12:06 , 07-Май-24 (13)
> Суть атаки в том, что атакующий может запустить свой DHCP-сервер и использовать его для передачи клиенту информации для изменения маршрутизации.Мощно.
- Можно ещё таскать с собой wifi-роутер, который будет подключаться к сети, а сам , Алкоголизм (?), 12:51 , 07-Май-24 (27)
Можно ещё таскать с собой wifi-роутер, который будет подключаться к сети, а сам раздавать целевым устройствам по ethernet/wifi. И проблема считай решена. Своеобразно, правда, но решена.
- Я вот не понял VPN зло или DHCP , Banned (?), 13:57 , 07-Май-24 (36)
Я вот не понял. VPN зло или DHCP?
- А если завесить IPv6 SLAAC или DHCP то та же винда будет считать его и его DNS-с, Tron is Whistling (?), 14:48 , 07-Май-24 (40) +2
А если завесить IPv6 SLAAC или DHCP то та же винда будет считать его и его DNS-серверы приоритетными. Шах и мат. Много мата.
- Для икспердов, которые говорят, мол, DHCP это плохо, кто получит доступ к моей л, Аноним (46), 16:00 , 07-Май-24 (46) +1
Для икспердов, которые говорят, мол, DHCP это плохо, кто получит доступ к моей локалке, это всё только если роутер от провайдера и т.д. — бвспомните про публичные сети (кафе, отели), особенно для тех мест, где иначе доступ к интернету не получить (например, деревня далеко от города). Ещё бывают публичные сети корпоративные, там тоже подвержено.А по поводу DHCP — полезная технология, без неё, например, мобильный доступ к интернету был сложнее. Или хотя бы про поддержку синхронизации времени по NTP у доверенных источников
- Мда А ещё электрик или просто хуллиган может провести DoS атаку и вырубить автом, Ivan_83 (ok), 22:53 , 07-Май-24 (59)
Мда. А ещё электрик или просто хуллиган может провести DoS атаку и вырубить автомат в подъездном щитке. А другой хулиган может какахами с потолка топить что приведёт к повреждению электроники. И ещё 100500 вариантов из серии "враждабное окружение". DHCP - мастхэв, статика - это для лузеров из прошлого века и p2p линков. В адекватной локалке уже пора бы обзавестись управляемыми коммутаторами хотя бы web smart серии (где всё мышкой через браузер), стоят они не сильно дороже не управляемых, зато там можно все левые DHCP хосты отфильтровать так что они смогут хакать только себя. Там на самом деле куча всяких фишек, включая ARP/ND испекцию, упомянутый выше DHCP screening и тп.
- Так вроде при использовании VPN соединение должно быть зашифровано и злоумышленн, Аноним (70), 23:26 , 07-Май-24 (71)
Так вроде при использовании VPN соединение должно быть зашифровано и злоумышленник всё равно ничего не прочтёт? Или я ошибаюсь?
- Надо пользоваться Tor over VPN , Аноним (91), 09:46 , 08-Май-24 (91)
Надо пользоваться Tor over VPN.
- Кто-то просто прочитал инструкцию к DHCP-серверу Уровень расследований возрос , Аноним (92), 10:01 , 08-Май-24 (92) +4
Кто-то просто прочитал инструкцию к DHCP-серверу?) Уровень расследований возрос)
- Собственно именно поэтому и нужен ip netns - чтобы виртуальный интерфейс был еди, anonymous (??), 13:06 , 08-Май-24 (98)
Собственно именно поэтому и нужен ip netns - чтобы виртуальный интерфейс был единственно доступным для программы. И даже если ты как-то убедишь программу отправлять пакеты на небезопасные адреса, мимо vpn оно не пройдёт.Для TOR оно тоже актуально.
- Даже имея секурное клиентское устройство и правильную криптографию, можно получи, Аноним (104), 20:55 , 08-Май-24 (105)
Даже имея секурное клиентское устройство и правильную криптографию, можно получить MITM. Хаха. Сеть доступа почти всегда идет через роутеры с проприетарными прошивками, ОС от сотрудничающих с ЦРУ корпораций, с незакрытыми уязвимостями, бэкдорами и тд и тп. Вероятность, что вашу локалку контролирует кто-то кроме вас или ее администратора очень велика в современном мире.Лично мне никогда не нравилась идея давать впн ради доступа к парочке админок. Для этого достаточно порт прокинуть через ссш туннель. Все это виндовс головного мозга. Ну и поделом.
- А что в списке уязвимых делает wireguard Там нет никаких DHCP, захардкоженные в , Аноним (114), 12:16 , 09-Май-24 (114)
А что в списке уязвимых делает wireguard? Там нет никаких DHCP, захардкоженные в конфиге IP-адреса и allowed-ips.Понятно, что можно сделать любую надстройку, но это проблема надстройки.
|