Ihr Standort: Ihre IP: Ihr Status:GeschütztUngeschützt · Zu den Tests »

IP-Leak bei VPN Providern mit Port-Weiterleitungen

IP-Leak bei VPN Providern mit Port-Weiterleitungen

26.11.2015 von Perfect Privacy

Sicherheitslücke „Port Fail“ legt IP-Adresse offen

Wir haben eine Sicherheitslücke bei diversen VPN-Anbietern entdeckt, die es einem Angreifer erlaubt, die Real-IP der VPN-Nutzer herauszufinden. „Port Fail“ betrifft alle VPN-Provider, die Port-Forwarding anbieten und keine Schutzmaßnahmen gegen diesen Angriff getroffen haben. Perfect-Privacy-Nutzer sind vor diesem Angriff geschützt.

Dieses IP-Leak betrifft alle Nutzer: Auch wenn die Opfer kein Port-Forwarding aktiviert haben, können Sie von Angreifern, bei denen das Port-Forwarding aktiviert ist, ausgespäht werden.

Wir haben neun der bekanntesten VPN-Provider mit Port-Forwarding getestet. Fünf davon waren anfällig für den Angriff und wurden vorab darüber informiert, damit sie das Problem vor Veröffentlichung beheben konnten. Möglicherweise sind aber noch weitere Anbieter betroffen, da wir unmöglich alle existierenden Provider überprüfen konnten.

Details zum Leak

Der Angreifer muss die folgenden Bedingungen erfüllen:

  • Er hat einen Account beim gleichen VPN-Anbieter wie das Opfer
  • Er kennt die IP-Adresse des VPN-Exits vom Opfer. (Diese kann über viele Möglichkeiten gefunden werden, etwa über BitTorrent-Clients, IRC oder indem man das Opfer dazu bringt, eine Webseite aufzurufen, die unter Kontrolle des Angreifers steht.)
  • Der Angreifer richtet Port-Forwarding ein. Es spielt keine Rolle, ob das Opfer Port-Forwarding einsetzt oder nicht.

So wird das IP-Leak ausgelöst:

  1. Opfer ist zum VPN-Server 1.2.3.4 verbunden
  2. Die Routingtabelle des Opfers sieht dann beispielsweise so aus:
    0.0.0.0/0 -> 10.0.0.1 (interner VPN-Gateway)
    1.2.3.4/32 -> 192.168.0.1 (alter Default-Gateway)
  3. Angreifer verbindet zum gleichen VPN-Server wie das Opfer (Angreifer kennt die IP-Adresse über IRC, torrent, oder andere Methoden).
  4. Angreifer aktiviert Port-Weiterleitungen auf dem Server 1.2.3.4, Beispiel-Port 12345.
  5. Angreifer bringt das Opfer dazu, 1.2.3.4:12345 aufzurufen, beispielsweise durch einbinden von <img src=“http://1.2.3.4:12345/x.jpg“> auf einer Webseite.
  6. Diese Verbindung offenbart dann die reale IP des Opfers aufgrund der „1.2.3.4/32 -> 192.168.0.1“ VPN-Route.

Das Entscheidene hier ist, dass Verbindungen zur IP-Adresse des VPN-Servers nicht durch das VPN gehen, sondern über den alten Default-Gateway, ergo mit der Real-IP des Nutzers.

Wenn ein anderer Nutzer (der Angreifer) Port-Forwarding auf dem gleichen Server aktiviert, kann er die Real-IP jedes Nutzers auf diesem Server ermitteln, indem er Sie dazu bringt, einen Link aufzurufen, der den Traffic auf einen Port unter seiner Kontrolle weiterleitet.

Zudem sei darauf hingewiesen, dass aufgrund der Natur des Angriffs alle VPN-Protokolle (IPsec, OpenVPN, PPTP, etc.) und alle Betriebssysteme betroffen sind.

Gegenmaßnahmen für VPN-Anbieter

Betroffene VPN-Provider sollten eine der beiden folgenden Maßnahmen ergreifen:

  • Mehrere IP-Adressen einsetzen: Eingehende Verbindungen sind auf ip1 erlaubt, ausgehende Verbindungen gehen über ip2-ipx raus. Port-Weiterleitungen sind dann nur auf ip2-ipx aktiviert.
  • Nach Verbindung des Clients eine serverseitige Firewall-Regel setzen, die den Zugriff von der Real-IP des Clients auf Port-Weiterleitungen blockieren, die nicht seine eigenen sind.

 

Zurück zur Übersicht
Diese Webseite verwendet Cookies zur Analyse der Zugriffe und zur Steuerung unserer Werbung. Wenn Sie diese Seite nutzen, stimmen Sie der Cookie-Nutzung zu. Mehr Informationen finden Sie in unserer Datenschutzerklärung.