IP-адреса утекают через дыру в VPN-сетях

≡ | Новости | 18.06.2010 14:47

В туннельном протоколе PPTP, использующемся во многих виртуальных частных сетях, обнаружена уязвимость, позволяющая вычислить IPv6-адреса пользователей.

Посмотреть статью полностью

19.06.2010 15:14 | пишет Михаил Какой-то | ссылка

"Слышал звон, да не знаю где он"

Игорь Крейн, не разбираетесь в теме - лучше не пишите, потому что источники нужно проверять!

Человек на конференции рассказывал о часто встречающихся проблемах при попытке анонимизироваться в Интернете. В самом PPTP никакой уязвимости он не обнаружил. Более того, описанная им проблема в IPv6 датируется 1999 годом [1], и решение к ней стандартизировано в RFC 4941 в секции "3.2. Generation of Randomized Interface Identifiers". На самом деле почти всё, о чём он говорил, является проблемой неправильных настроек, а не протоколов, и в его презентации были упомянуты вещи намного более опасные (утечка адресов через плагины вроде Flash, MS Word, Quicktime, etc.), чем проблема с настройками IPv6 в линуксе и старых версиях виндовса. Тем не менее, ничего принципиально нового сказано не было.

Отключение IPv6 с этой точки зрения сродни прятанью головы в песок, так как IPv4 адреса закончаться уже года через два [2], и выбора у пользователей не останется. Конкретно в данном случае пользователям Линукса и Мака нужно добавить в файл /etc/sysctl.conf одну строчку:
net.ip6.conf.if.use_tempaddr=2 # для линукса
net.inet6.ip6.use_tempaddr=1 # для мака
В виндовсе ХР IPv6 по умолчанию отключён, а в Vista и в Windows 7 в настройках по умолчанию Privacy Extensions уже включены [3].

[1] mns/frezz100499.htm...
[2] http://www.potaroo.net/tools/ipv4/index.html
[3] http://ipv6int.net/systems/

19.06.2010 16:59 | пишет Игорь Крейн | ссылка

> источники нужно проверять

Я бы с удовольствием это сделал, но источник был только в виде видеоролика, который по какой-то причине не грузился. Соответственно, мне пришлось довериться интерпретации TorrentFreak.

21.06.2010 11:30 | пишет Михаил Какой-то | ссылка

У меня исходный ролик [1] открылся нормально, но пришлось поискать где же в почти четырёхчасовом видео говориться об этой трабле. Оказывается, искомая презентация начинается примерно на 2ч 17мин, а проблема описывается на 2ч 33мин 50сек.

Если коротко, то она сводится к следующему:
1). IPv6-трафик не идёт через VPN, так как Ipredator и Relakks не поддерживают IPv6-тоннели (так же, как трафик от плагинов, не пользующихся настройками прокси браузера, но на более низком уровне), что выливается в раскрытии адреса вашей сети (провайдера).
2). В линуксе и маке по умолчанию НЕ используются IPv6 Privacy Extensions, в результате чего раскрывается мак-адрес вашей сетевой карточки.

Метод, который я предложил выше, поможет исправить вторую проблему путём использования случайных чисел вместо мак-адресов, но первую проблему он, к сожалению, не решит. То есть вычислить человека можно будет с точность до провайдера (если вы сам себе не провайдер, как в случае с SixXS), а ещё конкретнее - до первых 64 бит IPv6 адреса.

[1] http://bambuser.com/channel/telecomix/broadcast/832366

21.06.2010 12:18 | пишет Игорь Крейн | ссылка

О, вроде грузится ролик, сейчас посмотрю.

Но пока - из ваших слов - в отношении IPv6 и PPTP составляется следующая картина:

1. Это не новая уязвимость, а давно известный факт.
2. IPv6 виден не полностью, а только наполовину.
3. Поделать с этим (в VPN-сетях такого типа) ничего нельзя, кроме как отказаться от IPv6 (что, конечно, некомильфо).

P.S. Посмотрел. Не заметил, правда, чтобы говорилось о раскрытии только первой половины IPv6, но, возможно, просто пропустил, тем более что текст на экране презентации во многих случаях на этом видео разобрать невозможно.

В любом случае, спасибо за уточнение, сделаю сейчас апдейт к своему тексту.

27.06.2010 17:49 | пишет Михаил Какой-то | ссылка

Ура! Вот ссылка на слайды к той презентации: forskningsavd.se/files/pdf/deanonymous.pdf Наконец-то можно понять о чём на самом деле говорил автор!

Учитывая новую информацию можно сделать следующие выводы:
1. IPv6 *через Teredo* в сочетании с анонимизирующими VPN = большая дырка, позволяющая выяснить IPv4 адрес пользователя! На Висте и Семёрке Teredo включен по умолчанию, на остальных ОС - нет.
2. Родное IPv6-подключение без IPv6 Privacy Extensions = маленькая дырка, позволяющая выяснить MAC адрес сетевой карты пользователя (как по нему искать человека всё же непонятно).
3. Так как проблема в том, что трафик IPv6 идёт напрямую, а не через анонимизирующий туннель, то свой IPv6-адрес пользователи светят в любом случае. В теории пустить IPv6 через VPN ни чуть не сложнее IPv4, но такие сервисы мне не известны.
4. По этой же причине тип VPN - PPTP, L2TP, OpenVPN - играет малую роль.

В итоге пользователям Виндовс следовало бы отключить у себя Teredo, чтобы не светить IPv4, а остальным включить у себя Privacy Extensions, чтобы не светить MAC. Кроме этого абсолютно всем нужно либо убедиться, что их программы, работающие через туннель, игнорируют IPv6-ссылки, либо отключить IPv6 на время работы туннеля. В противном случае всё равно можно сохранить IPv6-адрес пользователя и таким образом выйти на его подсеть (но не на конкретного человека!).

З.Ы. Особой новизны в этой презентации и в самом деле нет, однако, факты малоизвестные. Что касается "IPv6 виден не полностью, а только наполовину", то скорее "при правильной настройке виден только адрес подсети."

25.06.2010 17:25 | пишет willemijns | ссылка

http://www.willemijns.com/dynip.php list all VPN which accept L2TP or/and openvpn for paranomiac users ;)