2024年5月初,相关安全研究机构曝光了TunnelVision/VPN decloaking攻击,可以导致内网VPN客户端失效,进而导致敏感信息泄露,国内数家媒体第一时间做了翻译转载,但具体内容有待进一步厘清。为此,作为
全栈VPN服务器及全栈VPN路由客户端软件提供商的
武汉中神通信息技术有限公司有责任做专业的技术说明,澄清事实真相,让大家能意识到其危害性,并在日常工作生活中尽量避免在DHCP环境中使用VPN客户端,亡羊补牢,未为晚唉。
一、攻击原理
1、内网用户处于DHCP服务器分配IP地址的局域网中,主要是第三方单位内网、云主机VPS内网及酒店、网吧、机场等使用WIFI/动态IP的公共场所,用户进行VPN拨号操作,VPN连通后,远程VPN服务器下发VPN路由到VPN客户端
2、内网DHCP服务器的Option 121可以设置局域网终端的策略路由,如果网络掩码比VPN路由的更小,则客户端VPN路由失效,相关流量改走DHCP服务器指定的路由,而不是走VPN隧道
3、恶意管理员直接设置DHCP服务器的Option 121路由内容,或者同在内网的黑客通过DHCP饱和攻击得以冒充DHCP服务器再实施攻击
4、等内网客户端DHCP租约过期后,向DHCP服务器请求更新IP地址,恶意的Option 121路由内容也随之更新了客户端的路由表,导致VPN路由失效,恶意管理员或黑客可以在其设备上抓包查看改道后的用户流量数据包
技术小结:TunnelVision攻击三要素是DHCP服务、拨号VPN和恶意的人
二、补救措施
1、用户先通过DHCP方式获知IP地址,再设置为静态IP,防止DHCP服务器的Option 121路由功能破坏VPN路由
2、客户端OS禁用DHCP客户端的Option 121路由功能,目前除了安卓系统外,Windows/Linux/iOS/macOS等其它系统仍需要做进一步的设置
3、客户端OS改用加密的、带用户认证的TCP应用代理,例如:https代理、SS、V2等,这样,即使第三层IP路由被替换也能在第四层TCP应用层保证链路安全
4、改用CISCO AnyConnect VPN,因为其VPN客户端进程能实时守护VPN路由表,防止被第三方篡改,其它诸如OpenVPN/SSLVPN、WireGuard、IKEv2/IPSec、PPTP、L2TP、SSTP等VPN客户端没有此功能
5、通过手机热点中转或者在虚拟机中做VPN拨号,避免宿主机的IP路由被替换
6、在交换机上开启DHCP Snooping功能,防止非法DHCP服务器接入
7、在网关/三层交换机处为内网客户端设置策略路由,代替DHCP Option 121路由下发功能
8、在有条件的单位局域网中,内网网关要做覆盖全网的IP&MAC地址绑定,防止IP冒用、IP冲突、ARP病毒,防止私接路由器、私设DHCP服务器
9、在有条件的单位局域网中,做内网零信任改造,任意两个终端的通讯都要经过安全网关安全策略的过滤,即使客户端路由表被篡改,也无法实际连通
三、附加说明
1、TunnelVision攻击属于内网安全范畴,和内网DHCP服务器有关,和远程VPN服务器关系不大;客户端可以同时接受内网DHCP服务器和远程VPN服务器下发的路由,内网DHCP服务器下发的路由代替了VPN路由
2、TunnelVision攻击和DNS污染类似,属于RFC协议原理安全性不足导致的安全危害,不是软件Bug
3、因为2002年发布的RFC3442规定了DHCP Option 121路由功能,所以TunnelVision攻击的危害性自2002年就一直存在
4、TunnelVision攻击实施成功后,对于受害客户端,不仅仅VPN流量失效,其它流量也会被改道,被第三方窃密
5、TunnelVision攻击实施成功后,客户端已有的VPN链接仍然保持连接,但VPN路由被替换,VPN失去了应有的作用;用户使用看不出异常,VPN服务器看不出异常,但可以查看VPN客户端流量统计得知流量异常
6、客户端OS不使用DHCP方式获取IP不受影响,Site to Site IPsec VPN内网不受影响,使用安卓系统不受影响,其它客户端OS或局域网需要做以上补救措施,之后也能避免受攻击
参考资料:
1、Why Your VPN May Not Be As Secure As It Claims/为什么您的VPN可能不像它声称的那么安全
https://krebsonsecurity.com/2024/05/why-your-vpn-may-not-be-as-secure-as-it-claims/
2、TunnelVision (CVE-2024-3661): How Attackers Can Decloak Routing-Based VPNs For a Total VPN Leak/攻击者如何解密基于路由的VPN从而导致VPN完全泄漏
https://www.leviathansecurity.com/blog/tunnelvision
3、DHCP clients & Option 121/DHCP客户端和选项121
https://www.linuxquestions.org/questions/slackware-14/dhcp-clients-and-option-121-a-4175736789/
4、Novel Attack Against Virtually All VPN Apps Neuters Their Entire Purpose/针对几乎所有VPN应用程序的新型攻击破坏了它们的全部目的
https://tech.slashdot.org/story/24/05/07/0140212/novel-attack-against-virtually-all-vpn-apps-neuters-their-entire-purpose
[
本帖最后由 linda 于 2024-5-24 12:11 编辑 ]
