Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    UPNP Sicherheitsproblem in Verbindung mit VPN

    Scheduled Pinned Locked Moved Deutsch
    3 Posts 3 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      Teddy
      last edited by

      Nabend beisammen,
      eventuell interessant für den ein oder anderen unter euch:
      https://www.perfect-privacy.com/german/2015/12/21/wrong-way-sicherheitsluecke-enttarnt-vpn-nutzer/
      _"Es wurde eine weiteres VPN-Sicherheitsproblem gefunden: „Wrong Way“ demaskiert ähnlich wie „Port Fail“ die Real-IP eines VPN-Nutzers. Diesmal sind nicht nur Provider die Port Forwarding anbieten betroffen, sondern alle die keinen Fix für dieses Problem implementiert haben. Das unterliegende Problem besteht darin, dass über die Real-IP eingehende Pakete unter bestimmten Umständen über die VPN-Route beantwortet werden."

      "Folgende Voraussetzungen müssen für einen erfolgreichen Angriff erfüllt sein:

      • Der VPN-Nutzer hat entweder eine direkte Verbindung ins Internet (ohne NAT) oder benutzt einen Router, der Port-Forwardings via UPnP unterstützt – viele Router haben dies per Default aktiviert.
      • Der VPN-Nutzer startet ein Programm, dass auf einem Port lauscht und darüber kommuniziert (beispielsweise Torrent-Clients, eMule aber auch VoIP-Software wie Skype)."_

      Das mal als kleinen Auszug aus dem beigefügten Link.
      Das sicherste scheint zur Zeit wohl zu sein, einfach UPNP zu deaktivieren.

      PFSense hat in der Standardkonfiguration das ganze bereits deaktiviert. Prüfen könnt ihr das unter folgendem Punkt:
      Services -> UPNP & NAT-PMP
      Haken rausnehmen, falls nicht Standardmäßig sowieso draußen, so wie bei mir.

      In eurem jeweiligen Router ebenfalls am besten nach der Option suchen.
      Da PFSense allerdings sowieso wohl eher die Gruppe von "spezialisierteren" Nutzern trifft, denke ich mal, dass all diese sowieso Standardmäßig alle nicht benötigten Dienste deaktiviert haben und somit das Problem die wenigstens treffen dürfte.

      Aber den Hinweis auf dieses (mir ebenfalls neue) Leak, wollte ich euch nicht vorenthalten! :)

      Frohes Fest
      Teddy

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Haken rausnehmen, falls nicht Standardmäßig sowieso draußen, so wie bei mir.

        uPNP ist immer deaktiviert, da es nur Zusatzdienst ist.

        Das Ganze ist nicht neu (die spezifische Nutzung jetzt vielleicht), aber wenn ich meine IP verschleiere, kommt es ohnehin drauf an, warum ich das mache. Und je nachdem sind das zwei Fälle die eh nicht miteinander vereinbar sind. (OpSec vs. Usability)

        Trotzdem Danke für die Info, ich würde nur jetzt nicht hyperventilieren bzgl. uPNP o.ä., denn das macht an der Stelle nur korrekt seine Arbeit. Das Problem entsteht ja nur durch die Lage, dass man hier versucht, jeglichen Verkehr umzuleiten und da eben nicht alles erwischt.
        Das Gleiche geschieht ja auch bei IPv6 was von vielen bspw. vergessen wird. Da v6 inzwischen von immer mehr ISPs zumindest dämlich ausgerollt wird und aktiv ist, vergessen viele dass sich v6 autokonfiguriert sofern eine Route announced wird und neue Kabelanschlüsse oder AllIP von der Telekom machen dies bspw. bereits. Somit "leakt" dann deine IPv6 sowie ggf. auch die v4 Adresse oder/und die TunnelIP mit über v6 raus, da der Layer natürlich sehr oft nicht durch den Tunnel geht.

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • M
          Marvho
          last edited by

          Hätte da jetzt noch eine Frage zu.
          Habe ich es nun richtig verstanden, dass dieser "Bug" nur dann auftritt wenn man OVPN o.Ä. auf dem PC laufen hat und die VPN Connection nicht am Router terminiert? Weil UPNP anscheinend den Port für das WAN und nicht für das VPN Interface öffnet?

          Gruß

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.