Norddeutsch hatte im Diskussionsbereich geschrieben "Günter zitiert auf X eine VPN-"Port Shadow Attack". Muss sich wohl auf Artikel wie PrivacyPort Shadow Attack Allows VPN Traffic Interception, Redirection, erschienen auf Security Week, beziehen. Ich ziehe mal den Kommentar von Norddeutsch in einen Beitrag, da ich den Diskussionsbereich bereinige.
Die wissenschaftliche Veröffentlichung dazu als PDF hier: Traffic Interception, Redirection, MitM. Getestet wurden OpenVPN, OpenConnect, WireGuard unter Ubuntu und FreeBSD (Table 1, p. 118).
Für emsige Admins – die Mitigation je nach Notwendigkeit (Table 2 , p 121):
M1. Allocated Port Restriction: Empfehlung iptable-rules, range bound
M2. Static Private IP Assignment: Evtl statische IPs für openvpn
M3. Per-host Connection Limit: Wenige "concurring" = mehr Aufwand
M4. Orphan Entry Flush: Entferne host entry nach disconnect
M5. Routing Precedent: Wrapper "namespaces" zB namespaced-openvpn
M6. Public IP Management: SNAT rule für alle ausgehenden VPN-Pakete
mE bieten viele Appliances (Watchguard zB mit OpenVPN) die Möglichkeiten gar nicht? Bei den Open-Source, Home oder SOHO-Lösungen von ClearOS, Endian, IPFire, OPNsense, pfSense,… wüsst ich gar nicht wie ich zB Mitigation "M5" mit nem Wrapperscript für OpenVPN in die Installation bekomme. Denk ich falsch?
MVP: 2013 – 2016
