Strongswan Sicherheitsproblem
Zur Navigation springen
Zur Suche springen
Grundproblem
- Um den Ping zu einem Netz vom VPN Gateway zu ermöglichen wendet Strongwan einen Trick an
- Die Route zum Partner Netz wird von der inneren Source Ip gesetzt.
- ip route show table 220
192.168.202.0/24 via 192.168.6.202 dev enp0s3 proto static src 192.168.201.1
- Wenn nun das Nat falsch ist und auch die Pakete ins Partner Netz genatet werden.
- Wird die Adresse des nächsten Gateway Richtung anderes VPN Gateway benutzt.
- Das ist normalerweise der Router des Providers.
- Im Labor ist es aber das Labor Gateway selbst und dort landet der unverschlüsselte Verkehr.
- Dieser kann dann auch beantwortet werden.
Gefahr in der realen Welt
- Bei Fehlkonfiguration ist der Traffic bis zum Gateway der Providers unverschlüsselt
- Dieser sollte die Pakete verwerfen da es sich um eine private IP handelt.
- Wenn man, was selten vorkommt, eine öffentliche IP in die VPN packt.
- Geht diese komplett unverschlüsselt über das Netz.
Abhilfe
- charon.install_routes = no
- Hierzu sollte man in der Datei
/etc/strongswan.conf charon { install_routes = no ... }
- setzen
- Danach strongswan und charon neustarten
- systemctl restart strongswan
- pkill charon