Archive

Articles taggués ‘routage’

IP leak affecting VPN providers with port forwarding

27/11/2015 Comments off

Vulnerability “Port Fail” reveals real IP address

We have discovered a vulnerability in a number of providers that allows an attacker to expose the real IP address of a victim. “Port Fail” affects VPN providers that offer port forwarding and have no protection against this specific attack. Perfect Privacy users are protected from this attack.

This IP leak affects all users: The victim does not need to use port forwarding, only the attacker has to set it up.

We have tested this with nine prominent VPN providers that offer port forwarding. Five of those were vulnerable to the attack and have been notified in advance so they could fix this issue before publication. However, other VPN providers may be vulnerable to this attack as we could not possibly test all existing VPN providers.

Details about the leak

The attacker needs to meet the following requirements:

  • Has an active account at the same VPN provider as the victim
  • Knows victim’s VPN exit IP address (can be obtained by various means, e.g. IRC or torrent client or by making the victim visit a website under the attackers control)
  • The attacker sets up port forwarding. It makes no difference whether the victim has port forwarding activated or not.

The IP leak can then be triggered as follows:

  1. Victim is connected to VPN server 1.2.3.4
  2. Victim’s routing table will look something like this:
    0.0.0.0/0 -> 10.0.0.1 (internal vpn gateway ip)
    1.2.3.4/32 -> 192.168.0.1 (old default gateway)
  3. Attacker connects to same server 1.2.3.4 (knows victim’s exit through IRC or other means)
  4. Attacker activates Port Forwarding on server 1.2.3.4, example port 12345
  5. Attacker gets the victim to visit 1.2.3.4:12345 (for example via embedding <img src=”http://1.2.3.4:12345/x.jpg”> on a website)
  6. This connection will reveal the victim’s real IP to the attacker because of the “1.2.3.4/32 -> 192.168.0.1” vpn route.

The crucial issue here is that a VPN user connecting to his own VPN server will use his default route with his real IP address, as this is required for the VPN connection to work. If another user (the attacker) has port forwarding activated for his account on the same server, he can find out the real IP addresses of any user on the same VPN server by tricking him into visiting a link that redirects the traffic to a port under his control.

Also note that due to the nature of this attack all VPN protocols (IPSec, OpenVPN, PPTP, etc.) and all operating systems are affected.

Mitigation

Affected VPN providers should implement one of the following:

  • Have multiple IP addresses, allow incoming connections to ip1, exit connections through ip2-ipx, have portforwardings on ip2-ipx
  • On Client connect set server side firewall rule to block access from Client real ip to portforwardings that are not his own.

 

Source: Perfect Privacy

IP et le routage

26/10/2015 Comments off

Excellent article de Christian Caleca grâce auquel j’ai pu approfondir mes connaissances et ma compréhension des bases du réseau IP.

Je potasse encore car j’ai parfois des lacunes.

Merci Christian


1. IP et le Routage

ip routageLes réseaux informatiques ont ceci d’intéressant : Ils couvrent des besoins aussi simples que la connexion entre deux hôtes sur un réseau local que l’interconnexion de systèmes à l’échelle planétaire.

Ici, nous allons nous intéresser à quelques aspects nécessaires à une bonne compréhension de ce qu’il se passe sur notre connexion Internet par le câble (nous verrons pourquoi cette connexion diffère fondamentalement d’autres moyens comme l’ADSL, le RTC ou l’ISDN).

Vous trouverez dans cet exposé :

  • une définition de ce que sont les adresses MAC et IP ;
  • ce que sont les réseaux physiques et les réseaux logiques ;
  • quels sont les composants d’interconnexion de réseaux les plus courants ;
  • comment les données circulent d’un réseau à l’autre ;
  • une manipulation destinée à toucher du doigt les problèmes du routage.

2. Physique/Logique

2-1. Qu’est-ce qu’une adresse MAC ?

Media Access Control

C’est une adresse écrite en « dur » dans le « firmware » d’un équipement réseau, le plus souvent une interface réseau.

Cette adresse est définie sur six octets.

  • Les trois premiers (les plus à gauche) sont attribués au constructeur.
  • Les trois derniers sont spécifiques à un équipement matériel donné.

Au total, une adresse MAC est censée être unique au monde.

Son but est d’identifier sans aucune ambigüité possible un nœud sur un réseau. Elle est utilisée par le niveau 2 du modèle OSI pour l’acheminement des données d’une source vers une cible.

Il faut bien comprendre que cette adresse est indispensable, parce qu’elle est la seule qui soit définie à la mise en route d’un système, puisqu’elle réside dans une ROM. D’ailleurs, certains protocoles réseau simples se contentent de cette adresse pour fonctionner. NetBEUI en est un exemple. De plus, au niveau 2 du modèle OSI, c’est la seule adresse en mesure d’être utilisée.

Toute autre adresse qui sera ajoutée avec l’installation du système sera une adresse plus évoluée, destinée à gérer les réseaux de façon logique, mais l’adresse MAC demeure indispensable.

2-2. Avantages et inconvénients

Nous l’avons vu, le principal avantage est que cette adresse unique est disponible immédiatement lors de la procédure de « boot » et qu’elle est alors la seule disponible, de plus, c’est la seule qui soit utilisable dans les couches basses du réseau.

Son principal inconvénient est qu’elle est physiquement attachée à un hôte. Pour en changer, il faut changer d’interface (il y a des astuces pour qu’il en soit autrement, surtout avec Linux, mais je ne vous les dévoilerai pas… Un internaute politiquement correct n’a pas besoin de les connaitre). De plus, la répartition de ces adresses sur un réseau est faite de manière quasi aléatoire, il n’y a que le constructeur de l’interface qui maitrise cette adresse. Il est donc impossible d’organiser cet adressage de manière logique.

2-3. Adresse IP

Nous n’allons pas revenir sur les détails de cette adresse, abondamment traités dans le chapitre précédent. Cette adresse sera ici d’une importance fondamentale.

2-4. Mise en garde

Nous avons dit et redit que la couche 2 n’utilise que l’adresse MAC pour acheminer les données. Au passage de la couche 3 (qui utilise une adresse logique, IP dans notre cas) à la couche 2 (et réciproquement), il faudra donc disposer d’une table d’équivalence entre les adresses IP et les adresses MAC du réseau.

2-5. Réseau physique ou logique

Ici, nous allons faire abstraction du support choisi (autant que possible) et nous intéresser à la façon de connecter les systèmes entre eux.

2-5-1. Un réseau physique

2-5-1-1. Le principe
img01

Voici un réseau physique :

  • tous les hôtes sont connectés entre eux au moyen du même support de transport ;
  • tous les hôtes sont en mesure de communiquer entre eux directement, sans besoin d’une quelconque passerelle.

Un réseau physique, c’est relativement facile à comprendre. Vous prenez un HUB, vous y connectez autant de postes que vous pouvez avec des câbles de cuivre en paire torsadée et vous avez construit un réseau physique.

Vous vous arrangez pour que tous les postes disposent du même logiciel réseau, par exemple Windows avec le protocole NetBEUI et le tour est joué. Vous pouvez partager des ressources entre les postes. Finalement, c’est assez simple. Oui mais, c’est parce que vos besoins sont simples. Si vous voulez utiliser TCP/IP, il faudra alors définir des adresses IP pour chacune de vos machines, adresses choisies dans le même réseau logique (voir le chapitre TCP/IP) et votre réseau fonctionnera aussi bien. Pourtant, NetBEUI n’introduit pasd’adresse logique.

2-5-1-2. Comment ça marche

La question est très compliquée, mais il est encore possible ici de donner une réponse simple et satisfaisante pour l’instant.

Les informations qui transitent sur le réseau sont visibles par tous les hôtes du réseau. Cependant, un système d’adresse unique par hôte (adresse MAC) permet au destinataire de se reconnaître et de récupérer l’information. Disons que dans un groupe de cinq personnes qui vaquent chacune à leurs occupations, vous posez une question à un membre du groupe. Tout le groupe entend la question, mais celui à qui elle est destinée se reconnaît et vous répond. Les autres entendent aussi la réponse, mais savent qu’ils ne sont pas concernés et nel’écoutent pas. Notez que si vous êtes capable d’analyser parfaitement tous les mécanismes mis en œuvre dans cet exemple, vous avez déjà pratiquement tout compris sur les principes des réseaux locaux.

2-5-1-3. Ça peut se compliquer…

Nous verrons, avec les passerelles, qu’un réseau physique peut être un peu plus compliqué que ça. Les ponts, qui sont des passerelles travaillant au niveau 2 (avec les adresses MAC) permettent de connecter deux réseaux physiques pour qu’ils n’en fassent plus qu’un.

2-5-2. Un réseau logique

2-5-2-1. Le principe

La notion de réseau logique est déjà un peu plus délicate, parce qu’elle n’est pas directement liée au câblage.

Il est peut-être nécessaire de reprendre le modèle théorique d’un OS réseau. À gauche, le modèle OSI en sept couches, à droite le modèle DOD de TCP/IP, plus pragmatique. Nous allons tout de même utiliser le modèle OSI qui décompose mieux les diverses fonctions.

img02

Pour l’étude des réseaux, ce sont surtout les trois premières couches OSI qui nous intéressent. Nous avons déjà parlé de la couche physique et de la couche liaison. Parler d’un réseau physique, c’est parler d’un réseau en le regardant au niveau 2.

Un réseau logique en revanche fait intervenir la couche 3. Il existe toujours une adresse unique par hôte, mais cette adresse est logique, l’adresse IP en ce qui nous concerne, et cette adresse est exploitée par niveau 3

2-5-2-2. Comment ça marche

Comme l’adresse utilisée est fixée par une stratégie définie par l’architecte du réseau et non par le hasard de la construction de la machine, il devient possible d’organiser les transferts de données d’une manière optimale en fonction des besoins. Deux réseaux logiques ne pourront communiquer entre eux que par l’intermédiaire d’un routeur, ce qui permet non seulement d’optimiser les flux de données, mais encore d’assurer un minimum de sécurité parce que l’on va pouvoir effectuer un contrôle d’accès au niveau de ces routeurs (fonctions de « firewalls »).

Il ne nous reste plus maintenant qu’à regarder d’un peu plus près les passerelles les plus courantes.

Lire la suite…

Categories: Réseau, Tutoriel Tags: ,

Postrouting and IP Masquerading in Linux

09/10/2015 Comments off

postrouting masqueradingIPTables is responsible to handle packet filtering in Linux system. IPTables contains several predefined and/or user-defined tables. Each table contains chains and chain contain packet rules. IPTables uses NAT table to forward packets to another node.

What is POSTROUTING?

A Postrouting chain in NAT table means altering the IP packet after the routing is completed. Logically, a postrouting can be used to change the Source Address. As the routing is completed and destination has his own address, the only unknown address that can be masked is the Source. This is why postrouting is used for SNAT.

What is IP MASQUERADING?

Now, when a packet leaves the local network and tries to travel the public network, it will fail to traverse if it keeps using the local details. This is where IP Masquerading plays the role. IP Masquerading is masking the packet with identity of the external interface.

How POSTROUTING and MASQUERADING relates?

When a packet arrives to the local gateway that has external interface, masks the packet with IP Masquerading and send it through the public interface. That says, packet has to be routed first before mangling it for Masquerading. That is why, you need to apply the Masquerading target on the Postrouting chain of the NAT table.

How to setup Masquerading in Linux Firewall?

The following command will enable IP Masquerading in Linux Firewall:

$ iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

The above rule will use NAT table (-t nat) on built-in Postrouting Chain (-A POSTROUTING) on interface eth0 (-o eth0).

The target Masquerade (-j MASQUERADE) advises to mask the above matched IP packets from the related table to external interface of the system.

Thus the above, would allow the local networks to gain access to external network through IP Masquerading.

 

Source: Mellowhost

Munin: Monitoring the “unreachable” hosts

06/10/2015 Comments off

Source: munin-monitoring.org
There are a number of situations where you’d like to run munin-node on hosts not directly available to the Munin server. This article describes a few scenarios and different alternatives to set up monitoring. Monitoring hosts behind a non-routing server.

In this scenario, a *nix server sits between the Munin server and one or more Munin nodes. The server in-between reaches both the Munin server and the Munin node, but the Munin server does not reach the Munin node or vice versa.

To enable for Munin monitoring, there are several approaches, but mainly either using SSH tunneling or “bouncing” via the in-between server.

SSH tunneling

The illustration below shows the principle. By using SSH tunneling only one SSH connection is required, even if you need to reach several hosts on “the other side”. The Munin server listens to different ports on the localhost interface. A configuration example is included. Note that there is also a FAQ entry on using SSH that contains very useful information.

MuninSSHForwarding

Bouncing

This workaround uses netcat and inetd/xinetd to forward the queries from the Munin server. All incoming connections to defined ports are automatically forwarded to the Munin node using netcat.

MuninPortForwarding

 

Arethusa le test

28/05/2015 Comments off

Un nouveau test VPN publié par le blog du VPN. Ici les VPN sont testés , configurés par créer une base de données la plus fiable possible. Arethusa à ses adeptes, il a déjà été l’ objet d’ une publication par alipaxe. Comme toujours on essayera d’ insister sur les particularités: méthode de configuration – protocole rare – tutos techniques.

Arethusa est proposé par S6N.org: une organisation internationale à but non lucratif fondée en 2003, pour promouvoir liberté d’expression sur Internet. La juridiction dont dépend ce VPN est celle des îles Seychelles: « Applicable jurisdiction for the handling of personal data is the Republic of Seychelles. Only Seychelles authorities can ask us to reveal your personal details. The only details we have about you are the ones you entered yourself. » Le whois de S6N.org confirme l’ enregistrement de nom de domaine de  l’ organisation à Victoria, capitale de cette République. Bien que le site soit en Anglais, le support technique et l’ interface sont en français. Lire la suite…

Categories: Réseau, Sécurité Tags: , , ,

Ubuntu Tip:How to Connect/disconnect VPN from the command line

22/08/2014 Comments off

Source: ubuntugeek.com

This tutorial will explain How to Connect/disconnect VPN from the command line

If you want to interact with NetworkManager from the command line you can use the « nmcli » command.
Lire la suite…

Categories: Réseau, Système, Tutoriel Tags: , , ,

Freebox Révolution & VPN

28/01/2014 Comments off

source: médiasoft technologies

2011 a vu l’arrivée de la Freebox Révolution.

Révolution pour les uns, mais régression pour certains.

Explications : bon nombre d’utilisateurs plus ou moins aguerris ou professionnels utilisaient la Freebox V5 en mode bridge en y raccordant un vrai routeur de façon à disposer de certaines fonctionnalités évoluées (Firewall, VPN, redirections de ports, etc.).

Or, sur la nouvelle Freebox (v6), il est devenu impossible de passer en mode bridge, celle-ci étant prévue pour fonctionner en mode routeur. De plus, comme chacun le sait (ou pas), les FAI n’aiment pas les modems standard, leur box est leur cheval de bataille, pour ne pas dire ouvertement leur cheval de Troie pilotable à souhait au niveau d’une QOS qui ne profite pas nécessairement au consommateur.

Certains objecteront, non sans raison, qu’un professionnel ferait mieux de souscrire une abonnement chez un fournisseur adapté, Nerim par exemple (c’est ce que je fais du reste), mais il ne faut pas perdre de vue que bon nombre de professionnels exercent à domicile et sont en droit d’attendre une offre qui satisfasse aussi bien leur besoins professionnels que leurs loisirs. Lire la suite…

Configurer une Freebox pour autoriser une connexion VPN à un routeur DD-WRT

28/01/2014 Comments off

Source: Autour de… Sam

Autour de… Sam
freebox-revolutionLa question revient assez souvent pour se connecter à distance chez soi au travers un VPN quand on dispose d’un routeur sous DD-Wrt derrière une box ADSL.
Dans le cas que vais expliquer ci-dessous, je prendrai le cas d’une Freebox V4 et d’une Freebox V6.

Il faut tout d’abord savoir que DD-Wrt embarque un très bon parefeu et que nos box ADSL françaises sont aussi équipées d’un parefeu quand elles sont en mode routeur et non pas en mode passerelle (gateway ou bridge). Lire la suite…

Categories: Réseau, Système Tags: , ,

Using ssh as a SOCKS proxy on Mac OS X

28/01/2014 Comments off

Introduction

Many times it can be convenient to tunnel your web traffic through a proxy, particularly an encrypted one. This web page shows how to easily tunnel your traffic through an ssh-encrypted proxy on Mac OS X. This allows your traffic to traverse your local network without being visible to snoopers, even when visiting unencrypted sites.

It also allows you to appear to come from a different IP address, allowing you to defeat geolocation schemes. In particular, some credit card processors try to make sure that your credit card billing address is correlated with your IP address, which can be hard on us expatriates. Another example is the free credit report web site which doesn’t seem to work from outside the United States. There are undoubtedly many other practical, legitimate uses for this sort of redirection. Lire la suite…

How to find out Router MAC address

09/01/2014 Comments off

Source: nixCraft

MAC is acronym for for Media Access Control address. It is a unique identifier attached to almost most all networking equipment such as Routers, Ethernet cards and other devices.

If you do not have access to router admin interface (via telnet or webbased), use following method to find out router MAC address.

You need to use arp command (available on both Windows, Linux/Unixish systems).

arp manipulates the kernel’s ARP cache in various ways. The primary options are clearing an address mapping entry and manually setting up one. For debugging purposes, the arp program also allows a complete dump of the ARP cache.

arp shows the entries of the specified hosts. If the hostname parameter is not used, all entries will be displayed.

Task: Find out router Mac Address

To find out your router MAC address, use arp command as follows:

$ /usr/sbin/arp -a
OR
$ arp -a
Output:

router (192.168.1.254) at 00:08:5C:00:00:01 [ether] on eth0
fbsd6 (192.168.1.16) at 00:0F:EA:91:04:07 [ether] on eth0

In above example 00:08:5C:00:00:01 is MAC address of my router. If you cannot find MAC address then just ping to your router once (my router had 192.168.1.254 IP)
$ ping 192.168.1.254
And then run (type arp -a) above arp command again. If you have telnet access to router then you can just telnet into router and find out MAC address:
$ telnet 192.168.1.254

Output:

Welcome to nixCraft Router!
Login: admin
Password:

Once logged in type ifconfig command:

$ ifconfig br0

Output:

br0             Link encap:Ethernet  HWaddr 00:08:5C:00:00:01
        inet addr:192.168.1.254  Bcast:192.168.1.255  Mask:255.255.255.0
        UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
        RX packets:48574 errors:0 dropped:0 overruns:0 frame:0
        TX packets:61329 errors:0 dropped:0 overruns:0 carrier:0
        collisions:0 txqueuelen:0
        RX bytes:9146189 (8.7 MiB)  TX bytes:74456679 (71.0 MiB)

Please note that your interface name (br0) could be different. You can also use ifconfig -a command.

Windows XP/NT/2003 find out Router Mac address

If you are using Microsoft Windows XP then you need to open MS-DOS shell prompt first. Click on Start > Run > Type cmd command followed by ENTER key. Then at C:\> prompt, type arp command as follows:

C:\> arp -a