Mõni päev tagasi vabastati see rünnakutehnika (CVE-2019-14899), mis Võimaldab asendada, muuta või asendada VPN-tunnelite kaudu edastatud TCP-ühenduste pakette. Probleem See mõjutab Linuxi, FreeBSD-d, OpenBSD-d, Android-i, macOS-i, iOS-i ja muid Unixi-laadseid süsteeme.
Meetod võimaldab pakettide asendamist TCP-ühenduste tasandil mis mööduvad krüpteeritud tunnelis, kuid see ei võimalda ühendusi ühenduste abil, kasutades täiendavaid krüptimiskihte (näiteks TLS, HTTPS, SSH). VPN-ides kasutatavad krüpteerimisalgoritmid ei oma tähtsust, kuna võltspaketid pärinevad väliselt liideselt, kuid kern töötleb neid VPN-liidese pakettidena.
Rünnaku kõige tõenäolisem eesmärk on segada krüptimata HTTP-ühendusi, kuid pole välistatud rünnaku kasutamine DNS-vastustega manipuleerimiseks.
Pakendi edukas asendamine on tõestatud loodud tunnelite jaoks koos OpenVPN, WireGuard ja IKEv2 / IPSec.Tor. Probleem seda ei mõjuta, kuna see kasutab liikluse edastamiseks SOCKSi ja liitub loopback-liidesega.
IPv4 puhul on rünnak võimalik, kui rp_filter lülitatakse režiimi Loose. Rp_filter mehhanismi kasutatakse pakettreiside täiendavaks kontrollimiseks, et vältida allika aadressi petmist.
- Kui see on seatud väärtusele 0, ei kontrollita lähte aadressi ja kõiki pakette saab võrguliideste vahel piiranguteta suunata.
- Režiim 1 "Range" hõlmab kontrollimist, et iga väljastpoolt saabuv pakett vastab marsruutimistabelile ja kui võrguliides, mille kaudu pakett vastu võeti, pole ühendatud optimaalse vastuse edastamise teega, visatakse pakett minema.
- 2. režiim "Lahtine" muudab testi koormuse tasakaalustajate või asümmeetrilise marsruudi kasutamisel toimimise lubamiseks lihtsaks, kusjuures reageerimise tee ei pruugi läbida võrguliidest, mille kaudu saabuv pakett saabus.
Režiimis "Lahtised" kontrollitakse, kas sissetulev pakett vastab marsruutimistabelile, kuid seda loetakse kehtivaks, kui lähteaadressile pääseb juurde mis tahes saadaoleva võrguliidese kaudu.
Rünnaku korraldamiseks toimige järgmiselt.
Primero väravat, mille kaudu kasutaja siseneb, tuleb juhtida võrku (näiteks MITM-i organisatsiooni kaudu, kui ohver loob ühenduse traadita pääsupunktiga, mida kontrollib ründaja või häkkinud ruuter).
Ukse juhtimisega link, mille kaudu kasutaja on võrguga ühendatud, ründaja saab saata näivaid pakette Neid tajutakse VPN-võrgu liidese kontekstis, kuid vastused saadetakse läbi tunneli.
Nukkpakettvoo genereerimisel, milles asendatakse VPN-liidese IP-aadress, püütakse mõjutada kliendi loodud ühenduste, kuid nende pakettide mõju saab jälgida ainult tunneli tööga seotud krüpteeritud liiklusvoo passiivse analüüsi kaudu.
Rünnaku korraldamiseks peate välja selgitama VPN-serveri määratud tunneli võrguliidese IP-aadressi ja ka kindlaks teha, et ühendus konkreetse hostiga on tunneli kaudu praegu aktiivne.
IP määramiseks virtuaalse võrgu VPN-liidese paketid saadetakse ohvri süsteemi pakettidesse SYN-ACK, järjestatakse kogu virtuaalsete aadresside vahemiku järjestamine.
Samamoodi määratakse kindlaks ühenduse olemasolu konkreetse saidiga ja kliendipoolne pordinumber: pordinumbrite tellimine kasutajale, saadetakse SYN-pakett lähteaadressina, milles saidi IP asendatakse, ja sihtkoha aadressiks on virtuaalne VPN IP.
Serveri porti saab ennustada (80 HTTP jaoks) ja kliendipoolse pordi numbri saab arvutada toore jõuga, analüüsides erinevate numbrite jaoks ACK vastuste intensiivsuse muutust koos RST lipuga paketi puudumisega.
Selles etapis teab ründaja ühenduse nelja elementi (allika IP-aadress / port ja sihtkoha IP-aadress / port), kuid selleks, et luua näiv pakett, mille ohvrisüsteem aktsepteerib, ründaja peab määrama järjestuse ja äratundmisnumbrid (seq ja ack) TCP -ühendused.
Lahendus.
Lõpuks kaitseks IPv4-aadressidega tunnelite kasutamisel piisab kehtestamisest rp_filter režiimis "Range"
sysctl net.ipv4.conf.all.rp_filter = 1
VPN-i poolel saab järjekorranumbri määramise meetodi blokeerida, lisades krüpteeritud pakettidele täiendava polsterduse, muutes kõigi pakettide suuruse samaks.
Suurepärane turvalisuse panus, eriti praegusel ajal, kui turvarünnakud on sagenenud. Tänud ja lugupidamine.