Вниманию публики предложен метод атаки TunnelVision, позволяющий при наличии доступа к локальной сети или контроля над беспроводной сетью, осуществить перенаправление на свой хост трафика жертвы в обход VPN (вместо отправки через VPN, трафик будет отправлен в открытом виде без туннелирования на систему атакующего). Проблеме подвержены любые VPN-клиенты, не использующие изолированные пространства имён сетевой подсистемы (network namespace) при направлении трафика в туннель или не выставляющие при настройке туннеля правила пакетного фильтра, запрещающие маршрутизацию VPN-трафика через имеющиеся физические сетевые интерфейсы...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61130
Круто, спасибо за информацию.
"при наличии доступа к локальной сети"
перестал дальше читать, лол
да пусть даже доступ будет. Современные энтерпрайз давно умеют отсекать неавторизованные DHCP-серверы в локалке на уровне коммутаторов.
Вы только сообщите об этом современным энтерпрайз админам, что бы они всё это настроили хоть как-то.
Я сначала также подумал, но, с другой стороны VPN часто рекламируют как способ обеспечить безопасность в публичных Wi-Fi сетях. И для таких сетей атака как раз возможна
В публичных сетях скорее всего пользуешься андроидом, где атака не работает. Если ноут, то правильно для VPN настраивать свою таблицу маршрутизации в ip-route и прибивать к ней клиентов bind-ом.
Только в этой рекламе забывают рассказать, что сервер VPN должен быть свой, а не "общественный" (с клиентом из маркетплейса).
клиенты под вирегуард/попенвпн самому собирать тобишь?
> клиенты под вирегуард/попенвпн самому собирать тобишь?Сервер для начала свой собрать.
Кто даст гарантию, что на чужом сервере нет мужика-в-середине?
Даже не так. На большинстве чужих серверах, что я видел, кто-то сидит и вклинивается в трафик, подменяя сертификаты на свои "зачем-то".
Это история про провайдеров, когда роутер провайдерский.
Это история про любую локалку со злоумышленном внутри и где комутаторы не фильрую сетевой мусор.
> "при наличии доступа к локальной сети"
> перестал дальше читать, лолА в чем проблема? Допустим у тебя есть роутер с впном, есть праводер которому это все не нравится. Он даст твоему роутеру вон то на WAN - и бай-бай, впн!
Аналогично при допустим конекте к публичной точке доступа. Даст она тебе это - и твой пафосный впн аннулирован. Ну и не читай дальше, фигли. С корпоративной точкой доступа и проч такая же фигня.
а ты посмотри на add-default-route для VPN и для DHCP clientв худшем случае, если что-то не так, ты можешь отключить add-default-route для обоих и прописать статически несколько правил
к тому же иметь VPN на роутере для цели сокрытия активности и заворачивать ВЕСЬ трафик - сомнительное удовольствие для домашней сетки, не в домашней пусть админы думают зачем им DHCP клиент на пограничном роутере
> а ты посмотри на add-default-route для VPN и для DHCP clientЯ обычно не юзаю DHCP - так что на меня этот чит вообще не сработает. Но идея прикольная.
> к тому же иметь VPN на роутере для цели сокрытия активности и
> заворачивать ВЕСЬ трафик - сомнительное удовольствие для домашней сетки,Напротив. Это как раз наименее тупой вариант.
> не в домашней пусть админы думают зачем им DHCP клиент на пограничном роутере
Угу, так и представляю себе точку доступа в кафешке без DHCP.
А зря, сеть до провайдера - тоже LAN, а адреса он обычно раздает по DHCP.
Только это часто ADSL/GPON где линк абонент-провайдер можно сказать физически изолирован от других абонентов.
В других случаях часто бывает схема VLAN per customer, где опять же VLAN абонента терминируется провайдером и туда никто попасть не может.
В прочих случаях провайдеры ВСЕГДА настраивают DHCP server screening / DHCP relay agent, потому что часто глупые абоненты втыкают провод провайдера в LAN порт своего роутера и через некоторое время все соседи остаются без инета и начинают доставать тех поддержку провайдера.
> Только это часто ADSL/GPON где линк абонент-провайдер можно сказать физически изолирован
> от других абонентов.
> В других случаях часто бывает схема VLAN per customer, где опять же
> VLAN абонента терминируется провайдером и туда никто попасть не может.
> В прочих случаях провайдеры ВСЕГДА настраивают DHCP server screening / DHCP relay
> agent, потому что часто глупые абоненты втыкают провод провайдера в LAN
> порт своего роутера и через некоторое время все соседи остаются без
> инета и начинают доставать тех поддержку провайдера.1. "схема VLAN per customer" как раз работает поверх LAN - вот тут и прилетит DHCP routing от провайдера.
2. можно сказать физически изолирован - как раз от провайдера и может прилететь DHCP routing.
3. В любом случаи провайдер может сделать DHCP routing - никакие server screening etc. не поможет.
А что соседей бояться?
Сразу хотелось бы вставить часть комментария с HN:
"They also claim that it affects all VPN clients in the headline, yet so many such clients setup firewall rules to block traffic to/from the physical interface as they acknowledge in the write-up. Most of the VPNs that are claiming to hide your identity or where such cloaking is important tend to implement that. I'm sure plenty of setups don't have it enabled by default, but I think it would have been productive to document what percentage of leading personal/commercial and corporate VPN solutions have this enabled by default."Если коротко, то у большинства нормальных VPN клиентов по умолчанию есть firewall, который делает эту атаку невозможной.
А у нас вообще запрещены, так, что не страшно.
https://opennet.ru/46944-law
Всегда поражался тупостью местных законовыдумывателей, им там хоть раз в голову приходило что исполнять подобные законы может быть запрещено законами в чьей стране юридически находится организация? Эстония, Франция, Греция, Испания, Финляндия и даже Мексика по конституции запрещено персонально ограничивать доступ к интернету. Тупые невежественные скоты с мозгом уровня детского садика. В сильном государстве пошли бы путем разрешения на предоставления услуг связи только после соответствия некоторым критериям, у нас же со входа ногой вышибают дверь - 'запретить'.Если кто читал закон, что там четко написано 'и (или) программы для электронных вычислительных машин, которые используются для обработки и распространения новостной информации в сети "Интернет"', что означает в России давным-давно должны были быть запрещены все веб браузеры, начиная от дефолтного Firefox/Chrome заканчивая Safari на iphone. А именно:
>>> 1) не допускать использование сайта и (или) страницы сайта в сети "Интернет", и (или) информационной системы, и (или) программы для электронных вычислительных машин, которые используются для обработки и распространения новостной информации в сети "Интернет" на государственном языке Российской Федерации, государственных языках республик в составе Российской Федерации или иных языках народов Российской Федерации, на которых может распространяться реклама, направленная на привлечение внимания потребителей, находящихся на территории Российской Федерации, и доступ к которым в течение суток составляет более одного миллиона пользователей сети "Интернет" (далее - новостной агрегатор), в целях совершения уголовно наказуемых деяний, разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну, распространения материалов, содержащих публичные призывы к осуществлению террористической деятельности или публично оправдывающих терроризм, других экстремистских материалов, а также материалов, пропагандирующих порнографию, насилие и жестокость, и материалов, содержащих нецензурную брань; (В редакции федеральных законов от 05.12.2022 № 478-ФЗ, от 31.07.2023 № 406-ФЗ)
И там много еще всякого подобного высира больного чиновника.
Тупость это когда от действий страдает придумывающий всё это. В данном случае стадают все остальные. И это специально, и специально написано чтобы под статьи попадало всё чтобы при необходимости статью можно было пришить кому угодно.
И в чем проблема? Вот прикрутили бота-модератора помимо админов и норм на Опеннете - все по закону. Несут владельцы ответственность за писанинку анонимов с браузеров на этом ресурсе.Я вон даже ник себе правильный написал,настолько я на самом деле пушистый.
Просто некоторые мб никогда не взаимодействовали с формальщиной далее чем подписание трудового договора или стопки согласий в поликлинике.
Эти законы дают основание, с одной стороны, формально требовать исполнения, а с другой - право и возможность блокировки ресурсов при неисполнении требований.Вдобавок, если все они такие добрые и ограничений не допускающие, как же многие из них запретили для своих жителей доступ к тому же RT ?
Тем более, что конституция сама по себе вообще ничего не означает - означают законы и иные акты, регулирующие те самые хотелки, прописанные в конституции.
> то у большинства нормальных VPN клиентов по умолчанию есть firewall,firewall может быть частью ОС, но никак не VPN клиентов.
>> то у большинства нормальных VPN клиентов по умолчанию есть firewall,
> firewall может быть частью ОС, но никак не VPN клиентов.нет никакой разницы, с т.з. кода. Грубо говоря, на примере линукса, нет особой разницы что дергает nf_tables, и даже через что... напрямик, или обёртка вокруг libnftnl.
Но с точки зрения архитектуры сервисов, разумеется, впечь такой vpn клиент.
Ну зачем вы такое говорите? У касперсокго и нод32 свой фаервол и прекрасно они работают перекрывая штатный фаервол ОС
Не использовать DHCP, а юзать статические IP адреса. Не вариант?
причем в url'ах тоже, а еще надо помнить мак шлюза, чтобы арп не подставили, вот тогда.... а нет, и тогда можно похакать все.
2 чая ...Если получил контроль над DHCP в локалке - так там до VPN-а можно всё украсть.
Вы не поверите, но не нужно получать контроля над DHCP, достаточно запустить свой dhcp-сервер и все клиенты ваши. В dhcp нет авторизации.
Не поверю ! Так как у меня в LAN 1 юзверь на 1 VLAN.
... и локалка из одного пентиума-3 1999 года ...
Не вариант, когда у тебя больше двух хостов.
А в современном жилье их даже у старушек легко оказывается 3+.
Можно юзать dhcp и игнорировать все получаемые маршруты/dns'ы с сетевых интерфейсов, потому что вы их уже прописали статикой как вам нужно и как нужно настроили nat на роутере/компьютере
И кстати, метрика у маршрутов с дианмическим назначением гораздо выше (низкоприоритетней) статических маршрутов (если вы принудительно не меняете приоритет у статических маршрутов)
Объясните ̶о̶в̶о̶щ̶у̶ не шарящему в сетях, провайдер может ̶з̶о̶н̶д̶и̶р̶о̶в̶а̶т̶ь̶ ̶м̶о̶й̶ ̶а̶н̶у̶ перехватить мой траффик гоняемый по OpenVPN'у?
провайдер не может. а чел который там работает может.
Читать шифрованные пакеты да, дешифровывать их нет и никогда не сможет. Замедлять тоже научились, благодаря устройствам выявляющие пакеты OpenVPN.
дополню - даже если провайдер подделает ваш впн сервер или айпи, то ваш клиент не сможет к нему подключиться, потому что провайдер всё равно не сможет узнать ваши сертификаты и логины/пароли. А если впн клиент не подключён, то вы сразу заметите.
Если ты к впн подключаешься напрямую без роутера или через роутер которым управляет провайдер - да, может при желании.
> провайдер может ̶з̶о̶н̶д̶и̶р̶о̶в̶а̶т̶ь̶ ̶м̶о̶й̶ ̶а̶н̶у̶ перехватить мой
> траффик гоняемый по OpenVPN'у?В определенных условиях и допущениях, как оказывается, таки может попробовать.
Чувак, у тебя проблема не техническая а административная.
Перехват твоего трафика провайдером должен быть наказуем по закону, если же ты опасаешься за свою шкуру при этом то либо надо менять локацию либо вид деятельности.
>надо менять локацию
>остановите землю, я сойдувидимо
>>надо менять локацию
>>остановите землю, я сойду
> видимоВообще-то ivan_83 как и я таки - следовали тому совету и локацию сменили. И по крайней мере в более приличных локациях - на 10 лет за неудобные мнения не пакуют. Так что мысль про опасения за свой окорок - весьма актуальная. А вам успехов в айти...
Если например это роутер в гостинице и к нему подключился клиент, клиент получает маршруты на 0.0.0.0/1 и 128.0.0.0/1 - и траффик уже не идёт через VPN, который отдал 0.0.0.0/0.
>Для защиты от атаки можно запретить на уровне пакетного фильтра отправку пакетов, адресованных в VPN-интерфейс, через другие сетевые интерфейсы; блокировать DHCP-пакеты с опцией 121; использовать VPN внутри отдельной виртуальной машины (или контейнера), изолированной от внешней сети, или применять специальные режимы настройки туннелей, использующие пространства имён в Linux (network namespace).Просто отключить DHCP, не?
>> сети, или применять специальные режимы настройки туннелей, использующие пространства имён в
>> Linux (network namespace).
> Просто отключить DHCP, не?Ты так популярно объяснил почему в моей конфиге эта атака не сработает...
И бегать настраивать по десяткам девайсов?
Лучше купите веб смарт свитч и настройте dhcp sreening.
Да, настроить 1 раз по десятку устройств, и потом не париться о
* упавшем DHCP-сервере
* уязвимостей с его стороны
* задержке на получение адреса по DHCP.
У меня dnsmasq ни разу ни где не падал.
А вообще, в локалке может быть куча DHCP серверов одновременно, и можно даже настроить чтобы они резервировали друг друга.Уязвимости у вас в фантазиях.
Задержка - где то от 1мс, те на уровне пинга.
Но в зависимости от конфига дхцп сервера может быть больше.
Зато у меня на OpenWRT падает постоянно. Потому что превратили прошивку в раздутую блоатварь, которая на той же оперативе не может теперь даже загрузиться, хотя раньше не только грузилась, а все навороты работали.
и при соединении по вайфай, если адрес не задан статически, то на несколько секунд медленнее подключается. Это если DHCP-сервер не упал.
Это оффтопик.http://netlab.dhis.org/wiki/software:openwrt:software:openwr...
Вот сделайте в конфиге и пересоберите, полегчает немного.
> Зато у меня на OpenWRT падает постоянно. Потому что превратили прошивку в
> раздутую блоатварь, которая на той же оперативе не может теперь даже
> загрузиться, хотя раньше не только грузилась, а все навороты работали.Ну так сделали эрзац системды - да еще в наихучшем виде, когда "jail" процесс отдельно повисает (весьма жирной) тряпочкой, навечно, старт педалится скриптами - которые для сравнимой фичности стали намного сложнее, и все это еще и кривое и глючное стало - потому что самопал наколенный.
А чтоб не скучалось вот вам еще генерация конфигов софту из UCI конфигов (да, до этого даже Поттеринг не допер, как тебе такое, поттер-нуб?!) - и авангардная вебморда которая не работает с старыми планшетами и проч, видите ли хром староват. Ну, блин, ф.., несомненно в морде девайса важнее всего последние стандарты веба, а не совместимость. В общем наьбежало в проект каких-то рукожопов, одни осьминоги остались. И теперь оно нормально работает только на ресурсах на которых можно и нормальный дебиан запустить...
>socketвсе современные протоколы VPN используют дэйтаграммы, а не TCP.
>tun0
для wg0 эта атака тоже должна работать. Фундаментальный дефект дизайна реализации VPN - это их работа через общую таблицу маршрутизации, а не через многоуровневую, где чем раньше пакет обрабатывается таблицей - тем приоритетнее та таблица.
Это не так работает :)В ОС есть общая таблица маршрутизации.
Чем более длинный префикс - тем более приоритетный маршрут.
Вот у вас локалка до роутера 192.168.1.0/24, и роутер выдал вам дефолтный 0.0.0.0/0 через себя в инет.
Вы запустили впн клиента и он условно добавил маршрут до своего 1.2.3.4/32 через роутер, потом удалил 0.0.0.0/0 через роутер и добавил 0.0.0.0/0 через роутер на том конце впн туннеля.
При этом вы всё ещё можете ходить по 192.168.1.0/24 потому что оно более приоритетно.
И это правильное поведение.
Бывают варианты когда есть галочка типа "блокировать весь траффик мимо впн туннеля", вот она должна добавлять фаервольные правила для фильтрации всего что мимо тунеля.
Есть ещё отдельная тема с name spaces в линухе и routing tables во фре.
В обоих случаях есть возможность назначить отдельным приложениям свои особенные таблицы маршрутизации.
На практике я бы сказал что это специфичная фича и лично я стараюсь такого избегать.
Спасибо, понятно. Значит ффтопку эти все VPNы на основе таблиц маршрутизации в ядре, просто используем SOCKS-прокси в нужных приложениях, которые пакеты до VPN сами прокидывают. Всё идёт через прокси, если VPN упал - соединение рвётся, никаких извращённых манипуляций с таблицами маршрутизации. К сожалению UDP так не прокинуть.
Если у вас сокс5 прокси и впн клиент разные приложения - то будет точно так же как без сокс5.
внезапно wg кладет болт на таблицу маршрутизации и заворачивает пакеты согласно allowed-ips
чем люто бесит
>Перенаправление осуществляется через выставления серии маршрутов для подсетей с префиксом /1, которые имеют более высокий приоритет, чем применяемый по умолчанию маршрут с префиксом /0 (0.0.0.0/0)Я чайник в сетях, поэтому мне не понятно:
1. почему /0 имеет меньший приоритет, чем /1, но больший, чем /24?
2. А если самим указывать /1 2 раза, то что будет?
Не парься, все годные закладки в железе.
Какое удовольствие попариться самому, чтобы попарить закладчиков ммм:)
1. При выборе маршрута берется наиболее совпадающий маршрут маска /24 означает что первые 24 бита ip адреса должны совпадать, он будет иметь приоритет над /1 и /0 и тут не написано обратного.
2. tcp протокол сам по своим метрикам выбирает наиболее подходящий маршрут (самый быстрый, или первый инициализированный) если есть 2 интерфейса с одинаковыми роутами
Ничего не понял.1. Если /24 приоритетнее, чем /0, то почему при врубании VPN с 0.0.0.0/0 всё должно идти через VPN?
2. маршрутизация - это не функция транспортного уровня, а сетевого. За неё отвечает IP. TCP тут вообще никаким боком, тем более что все современные VPN-протоколы основаны либо на UDP, либо на IPSec.
> современные VPN-протоколы основаны либо на UDP, либо на IPSec.Бугага, а конечно, чтобы их блокировать удобнее было
Third world problems.
> 2. tcp протокол сам по своим метрикам выбирает наиболее подходящий маршрут (самый быстрый, или первый инициализированный) если есть 2 интерфейса с одинаковыми роутамиТ.е. перед тем как выдать ИПшник, ДХЦП еще и скорость мерит ?
Или даже гонка, кто первый ?:)
Нет, там все значительно проще, если гейтов больше чем один, то приоритет у того, у кого меньше метрика, вот и все
Поиск идёт по самому длинному префиксу.
Самым приоритетным будет /32, потом /31 и так до /0.
/1 менее приоритетный чем /24.
Потому что есть p2p линки, там /32 на другом конце и понятно что даже если там
192.168.1.22 хост то нужно к нему ходить именно через отдельный p2p интерфейс а не искать его в
локалке где 192.168.1.0/24 куча похожих адресов.
Вы не можете добавить в таблицу маршрутизации две одинаковых записи.
(там могут быть исключения, кажется бывают разные метрики для одного маршрута, но это не во всех ОС и тема сильно адвансед для того кто спрашивает такое :) ).
Спасибо за инфу.
> почему /0 имеет меньший приоритет чем /1,Потому что это все, что не указанно эксплицитли, /1 - это уже более конретней, значит более приоритетней
> но больший, чем /24?
С чего это? Чем уже маска, тем конкретней скоп, /24 приоритет выше чем /1
Если гейтов более чем один в подсети, то приоритетность маршрута выбирается тогда не по маске, а по метрике гейтвеев, чем меньше значение метрики, тем более приоритетный гейтвэй.
> Суть атаки в том, что атакующий может запустить свой DHCP-сервер и использовать его для передачи клиенту информации для изменения маршрутизации.Мощно.
Можно ещё таскать с собой wifi-роутер, который будет подключаться к сети, а сам раздавать целевым устройствам по ethernet/wifi. И проблема считай решена. Своеобразно, правда, но решена.
Так тебе просто роутер целиком завернут куда не нужно
Роутер то да, но впн клиент будет за роутером и до него вредные маршруты не дойдут.
Я вот не понял. VPN зло или DHCP?
ОС которые слепо верят DHCP
Вы же верите электрикам и сантехникам - они вам базовый сервис организуют.
Или вы из тех кто дома прежде чем унитазом воспользоватся проверяет его на все возможные подлости?
Мне вот интересно, а как вы обезопасиватесь от того что из унитаза может вынырнуть питон и цапнуть вас?) (кейсы из австралии)
Ага и службе безопасности верим, которая звонит с левого номера (нет), а так верить никому нельзя потому что все врут.
> Вы же верите электрикам и сантехникам - они вам базовый сервис организуют.А напрасно. М...ков которые путают фазу и ноль или просто не парятся - в природе хватает. Некоторые по запаре, некоторые потому что ДЛБ и не в курсе чем они отличаются. И вот на вид вроде "света нет" - но провода все равно смертельно опасны если рядом заземленные предметы. Прошареные монтеры - тыкают индикатором, и нафиг ваше доверие, жизня дороже.
Или к вопросу почему у нормальных электриков бывает сертификация и проч.
> Или вы из тех кто дома прежде чем унитазом воспользоватся проверяет его
> на все возможные подлости?Ну, насчет унитаза не скажу - а отрубив электричество я таки проверяю что опасного напряжения по факту нет. Потому что прецеденты были.
> Мне вот интересно, а как вы обезопасиватесь от того что из унитаза
> может вынырнуть питон и цапнуть вас?) (кейсы из австралии)Поставить решету на канализацию :). И таки да, в ряде стран это вполне себе лучше мониторить, как и наличие всяких незваных гостей в доме. Они еще ядовитые бывают. И вас в тех странах не поймут. Да что там, б..я, летом достаточно на осу сесть не глядя - и потом батхерта будет вполне себе! Не питон конечно, но все равно не айс.
Уже ДАВНО есть дифф автоматы, которые гарантируют что если вы схватитесь за провод с фазой то автомат отключит электричество раньше чем вы почувствуете что вас бьёт током.
Обычно таких автоматов минимум два в цепи, в некоторых вариантах такие втоматы ещё и в каждой розетке.
> Уже ДАВНО есть дифф автоматы, которые гарантируют что если вы схватитесь за
> провод с фазой то автомат отключит электричество раньше чем вы почувствуете
> что вас бьёт током.Ну вообще-то проверявшие как это работает на своей тушке (нет, сам я под 220 соваться лишний раз не хочу, даже через дифавтомат) - рассказывают что почувствовать очень даже успеваешь. А заодно, поскольку это довольно дорогая вундервафля - обычно вырубает весь дом или существенный кусок, сильно за пределами того что отключалось обычным защитным автоматом.
> Обычно таких автоматов минимум два в цепи, в некоторых вариантах такие втоматы ещё и в каждой розетке.
В случае РФ и прочих диких мест с куплеными сертификатами или абы кем - нехило проверить что именно привинтили - таки бывают промышленные дифавтоматы и проч, срабатывающие при более крутых утечках. Они дешевле ;) так что если какой-то изобретательный козел удумает сэкономить - там порог срабатывания круче и шанс сыграть в ящик имеется.
У нас дифф миним по разу на каждом срабатывал, никто ничего не почуствовал :)Дифф вовсе не дорогой, единственная причина по кторой их могут ставить на группу - размеры х2 или х3.
Как я говорил - бывают розетки со встроенным дифф, там вырубит по месту.
> У нас дифф миним по разу на каждом срабатывал, никто ничего не почуствовал :)Хрена вы там неаккуратные. Я всего 1 чела видел который на себе тестил, правда, в мокрых условиях. В этом случае - сказали что ощутили, после чего - все вырубилось. А так на дифавтомате есть кнопочка тест. Надеюсь у вас хватает ума ее жать хотя-бы раз в год, проверяя что оно еще и работает.
> Дифф вовсе не дорогой, единственная причина по кторой их могут ставить на
> группу - размеры х2 или х3.Нормальный диф стоит в разы дороже обычного автомата. А хороший, нормальной фирмы и вовсе довольно прилично.
> Как я говорил - бывают розетки со встроенным дифф, там вырубит по месту.
Мне попадался диф встроеный в водонагреватель, где сие актуально. Прикольная идея, но это был топовый агрегат за уйму денег. В более простых не ставят.
А в розетку... смысла не очень много. Если на входе не ставить - окей, куча опасных проводов НЕ прикрытых дифом. А если ставить - окей, какой их них отвалится первым как бы рандом. В целом идея этой штуки в том что оно защищает контур за собой. Кусок контура ДО него продолжает быть опасным если нет дифа до него, потому что на утечку там всем будет пофиг.
Дифференциальный автомат Schneider Electric EZ9D22640 - 5500 руб, это самый дорогой однофазный что я нашёл сходу в местных прайсах.
Самые дешманские примерно от 500 руб.Если для вас 55 евро за свою жизнь или жизнь близких это дорого - ну ок :)
(типа хотя бы один то хороший можно купить на всю хату)В нормальных местах к водонагревателю делают изначально отдельную проводку от щитка и там всегда есть возможность поставить дифф и не страдать фигнёй надеясь на производителя.
И подозреваю что любой производитель в инструкции по монтажу пишет что подключать только в розетку после дифф автомата.
> Дифференциальный автомат Schneider Electric EZ9D22640 - 5500 руб, это самый дорогой однофазный
> что я нашёл сходу в местных прайсах.Ну дык. Вот и жмутся на них.
> Самые дешманские примерно от 500 руб.
А ставить китайскую электрику, особенно дешевую - ну такое себе. Как впрочем и российскую.
> Если для вас 55 евро за свою жизнь или жизнь близких это дорого - ну ок :)
1 штучку норм - а пачками их расставлять жаба таки поддушивать начнет.
> (типа хотя бы один то хороший можно купить на всю хату)
В общем то - да. И довольно глупо это не делать.
> В нормальных местах к водонагревателю делают изначально отдельную проводку от щитка и
> там всегда есть возможность поставить дифф и не страдать фигнёй надеясь
> на производителя.Это все сильно зависит от того что и где. Просто видел такие водогреи, но с этой штукой только дорогие околотоповые модели конечно.
> И подозреваю что любой производитель в инструкции по монтажу пишет что подключать
> только в розетку после дифф автомата.Ну да, типа отмазались а дальще - вы сами.
Это же только если правильно подключить такой автомат и правильно поставить землю. Просто слепая установка от балды может ничем не помочь. Например, землю на ноль до автомата завернули тем или иным способом
Дифф автомату земля не нужна от слова совсем, он срабатывает от РАЗНИЦЫ (дифф же) силы тока в обоих проводах.
Это тебе только так КАЖЕТСЯ (извините, это для исчеричных чудил, которые пока что умеют читать и писать только так), но у реальности на этот счёт другое мнение. Чтобы возникала разница ток должен куда-то утекать. И это куда-то, внезапно, обычно земля или чей-то ноль. Или каждый вывод, практически каждую розетку, нужно заворачивать в отдельный автомат.
Да, и утекает оно обычно через тушку человека, который стоит ногами на полу или взялся за холодильник и батарею.
Иметь заземление желательно, но не обязательно, в самом автомате его подключать некуда.
https://electrograd.pro/blog/chto-takoe-difavtomat-i-dlya-ch.../У меня в одной хате 2 дифф автомата: один на ванную и там только стиралка.
Другой на кухню - там пачка розеток.
Это прекрасно работает.
Обычно ещё ставят общий дифф на входе в хату чтобы покрыть вообще всё.
> Обычно ещё ставят общий дифф на входе в хату чтобы покрыть вообще всё.Это как раз наименее тупой вариант. Иначе остается дофига опасного контура где никто не мониторит утечку - а вот при каких-то отколениях от идеала там вполне себе есть фаза и оно при контакте с заземленными предметами не менее опасно чем все остальное.
> Это тебе только так КАЖЕТСЯ (извините, это для исчеричных чудил, которые пока
> что умеют читать и писать только так), но у реальности на
> этот счёт другое мнение. Чтобы возникала разница ток должен куда-то утекать.Дифавтомат таки - не оперирует землей. Он ставится между фазой и нулем в разрыв обеих, и ему в разумных пределах похрен как оно с землей соотносится.
Что ему НЕ похрен - разница втекающего и вытекающего тока. Потом и диф. Как только разница превышает порог он вырубается. Это ессно актуально только для систем с нейтралью и проч где 1 из проводов близок к земляному потенциалу.
Если это изолированая от земли система, в ней дифавтомат работать не будет, потому что току утекать при контакте юзера с чем-то заземленным нет причин. В этом случае нет понятия фазы и ноля и однополюсный автомат в любой из проводов - ОК. Но в случае фазы и ноля при ноле близком к земле - отрубить ноль, оставив фазу под напряжением весьма чреватый фэйл. Как показали эксперименты далеко не любой козел называющий себя электриком в курсе этой ерунды. Так что доверять им? Ну вот нет. Только проверять.
> И это куда-то, внезапно, обычно земля или чей-то ноль. Или каждый
> вывод, практически каждую розетку, нужно заворачивать в отдельный автомат.Ноль таки - не земля. Его потенциал может заметно отличаться от земляного. Бывает вольт 30 в хоршо нагруженой сети, за счет падения напряжения на проводах. Тем не менее он относительно безопасен по сравнению с фазой, кроме разве что экзотичного случая когда где-то вдали заземление нуля все же отгорело, и тогда - он будет под потенциалом фазы через кучу нагрузок. Но поскольку при этом работать ничего не будет, этот фэйл быстро чинят и вероятность под него попасть мизерная.
А если завесить IPv6 SLAAC или DHCP то та же винда будет считать его и его DNS-серверы приоритетными. Шах и мат. Много мата.
(да и RA тоже ничего так себе)
Для икспердов, которые говорят, мол, DHCP это плохо, кто получит доступ к моей локалке, это всё только если роутер от провайдера и т.д. — бвспомните про публичные сети (кафе, отели), особенно для тех мест, где иначе доступ к интернету не получить (например, деревня далеко от города). Ещё бывают публичные сети корпоративные, там тоже подвержено.А по поводу DHCP — полезная технология, без неё, например, мобильный доступ к интернету был сложнее. Или хотя бы про поддержку синхронизации времени по NTP у доверенных источников
> DHCP — полезная технология, без неё, например, мобильный доступ к интернету был сложнееDCHP — атавизм для легаси сетей. Мобильные провайдеры как раз-таки с радостью выкидывают этот хлам и переходят на сингл стэк IPv6 с NAT64/DNS64 для IPv4.
Есть ли примеры таких провайдеров в РФ?
Чувак, есть DHCPv6, и есть RA.
Они все ни чуть не лучше DHCPv4, просто там IPv6.
DHCPv6 — костыль. У RA совершенно другая семантика. В частности, RA позволяет динамически перенастраивать клиентов.
> Или хотя бы про поддержку синхронизации времени по NTP у доверенных источниковЭто вообще никаким боком к DHCP. Источник времени, тем более доверенный, к DCHP никак не относится и без MACSec в данном случае неосуществим.
Почитайте уже какие опции есть в DHCP.
Там не только список DNS, но NTP, SMTP, IRC, WINS, и уже не помню чего ещё.
В DHCP можно произвольную информацию передавать с кастомными номерами опций, лишь бы клиент и сервер оба знали, что с ними делать. Это как раз не проблема. Проблема в том, что проверить подлинность ответов DHCP никак нельзя без криптографии. Поэтому с голым DHCP «про поддержку синхронизации времени по NTP у _доверенных_ источников» можно забыть.
1. Клиент в запросе указывает опции которые он хочет.
Если сервер передаст лишнее то клиент это проигнорит.
А может и вообще дропнет пакет, надо смотреть настройки и реализации.
2. Крипта не нужна.
В управляемой сети ответы можно получать только от строго определённых админом хостов подключённых к определённым портам.
3. Есть совсем управляемые сети, где хосту надо пройти авторизацию прежде чем коммутатор его выпустит в общую сеть.
На практике такое редко делают, обычно в совсем лютых местах в плане безопасности :)
Авторизация там не хуже чем в вифи: пароль или сертификат, но без возможности перехвата.
И да, админ сети может положить на вас с прибором и просто на фаере завернуть все запросы к 123 порту на свой локальный NTP сервер.
Аналогично с DNS.
Я так иногда делаю и делал.
Ещё и 80 в сквид на кеширование и резалку рекламы заворачивал раньше.
Мда.
А ещё электрик или просто хуллиган может провести DoS атаку и вырубить автомат в подъездном щитке.
А другой хулиган может какахами с потолка топить что приведёт к повреждению электроники.
И ещё 100500 вариантов из серии "враждабное окружение".
DHCP - мастхэв, статика - это для лузеров из прошлого века и p2p линков.
В адекватной локалке уже пора бы обзавестись управляемыми коммутаторами хотя бы web smart серии (где всё мышкой через браузер), стоят они не сильно дороже не управляемых, зато там можно все левые DHCP хосты отфильтровать так что они смогут хакать только себя.
Там на самом деле куча всяких фишек, включая ARP/ND испекцию, упомянутый выше DHCP screening и тп.
Теперь ждём от авторов такие новейших открытий как:
- DoS атака на DHCP сервер для исчерпания свободных лиз;
- WPAD извращения с подсовыванием своих проксей, как через DHCP так и через регистрацию доменов.
> - DoS атака на DHCP сервер для исчерпания свободных лиз;Желаю удачи, если на всех рабочих станциях файрволы акцептят только установленный админом IP of DHCP и режет все левые bootpc (кстати будет работать и с "новостью"). Ну и arpwatch никто не отменял
> - WPAD извращения с подсовыванием своих проксей, как через DHCP так и через регистрацию доменов.
DNS: http(s)?://wpad.* => reject
Зачем нужные фаеры за пределами роутера?)> на всех рабочих станциях файрволы акцептят только установленный админом IP of DHCP и режет все левые bootpc (кстати будет работать и с "новостью").
Это вас никак не защитит.
В неуправляемой локалке я могу вам отправлять с любого MAC+IP любые пакеты.Защита от подмены MAC - port inspection у длинка называется и позволяет ограничивать количество MAC адресов на каждом порте коммутатора. Правда это не удобно при наличии виртуалок, придётся им или без инета или нужно NAT поднимать на хосте виртуализации.
DHCP relay agent, DHCP screening - это как раз чтобы коммутатор фильтровал лишнее и пересылал только от нужных DHCP серверов пакеты.
> Зачем нужные фаеры за пределами роутера?)А у вас в локалках полное доверие всем?
>> на всех рабочих станциях файрволы акцептят только установленный админом IP of DHCP и режет все левые bootpc (кстати будет работать и с "новостью").
> Это вас никак не защитит.
> В неуправляемой локалке я могу вам отправлять с любого MAC+IP любые пакеты.Вот именно для этого локалка и должна быть управляемая, или мы про домашню сеть с двумя тремя юзерами где на 802.1X свитч не наскребли ?
> DHCP relay agent, DHCP screening - это как раз чтобы коммутатор фильтровал
> лишнее и пересылал только от нужных DHCP серверов пакеты.Т.е. все таки "нормальный" свитч есть ;)
Доверие не нужно.
Я вообще думаю почти полностью отказатся от фаера дома и расшарить локалку в инет.
На приватных сервисах поставлю TTL=1 и оно само автоматом за локалку не выйдет.
> 802.1XНе удобно, им на практике почти никто не пользуется.
И я вам не про дурацкую фильтрацию по IP которую вы собрались на каждом хосте настраивать, а про фильтрацию DHCP на уровне коммутатора, которая настраивается один раз и для всех сразу.
> DNS: http(s)?://wpad.* => rejectЭто какой такой DNS сервер у вас http/https понимает в конфиге?))))
>> DNS: http(s)?://wpad.* => reject
> Это какой такой DNS сервер у вас http/https понимает в конфиге?))))http(s)? выше только для понимания о чем wpad.* и блокать надо не на ДНС а на файрволе, на рабочих станциях
Походу с понимаем у вас не очень :)
С админством тоже, ибо вместо централизованного управления у вас индивидуальный тюнинг каждого хоста.Сомневаюсь что у вас есть представление о том, как блочить WPAD на уровне фаера, особенно если это не ngfw какой нить а условных *tables в линухах.
У нормальных админов WPAD блочится и на уровне DHCP и на уровне DNS сервера на роутере.
DHCP выдаёт WPAD на роутер, роутер отдаёт там DIRECT. Это 5 строчек, 4 из которых в nginx.
В DNS нужно прописывать либо регэкспами либо пачку записей, для этого надо почитать доку и узнать как клиенты перебирают доменные имена в поисках.
> Походу с понимаем у вас не очень :)Ну вот на этом пожалуй и закончим, удачи в домашних локалках мистер
> Походу с понимаем у вас не очень :)
> С админством тоже, ибо вместо централизованного управления у вас индивидуальный тюнинг
> каждого хоста.Централизованое админство имеет минус: оно видите ли в случае чего очень удобно оказывается не только админу... :). Особенно хороша в этом AD, там сразу можно всей конторе малварь раздать не отходя от кассы. Удобно то как! А вы потом можете подумать что с этой конторой делать и как ее вообще оживить, когда там ВСЕ компы - с троянами. Удобство и безопасность живут по разную сторону улицы ;)
>> Походу с понимаем у вас не очень :)
>> С админством тоже, ибо вместо централизованного управления у вас индивидуальный тюнинг
>> каждого хоста.
> Централизованое админство имеет минус: оно видите ли в случае чего очень удобно
> оказывается не только админу... :). Особенно хороша в этом AD, там
> сразу можно всей конторе малварь раздать не отходя от кассы. Удобно
> то как! А вы потом можете подумать что с этой конторой
> делать и как ее вообще оживить, когда там ВСЕ компы -
> с троянами. Удобство и безопасность живут по разную сторону улицы ;)This ^^^ Секьюрность не должна быть - single point of failures, это многоступенчатая задача, начиная от air gaped центра сертификации SSL и заканчивая lock-downed рабочими станциями которые настраиваются автоматически и "удобно" удаленно, бегать с флэшкой по локалке совсем не надо, но и права админов должны быть так же легко отзываемыми через то же центр сетификации в случае когда один админ дал подруге поиграть на своем компютере и ликнули ключики
> права админов должны быть так же легко отзываемыми через то же
> центр сетификации в случае когда один админ дал подруге поиграть на
> своем компютере и ликнули ключикиА что будет если атакующий вот этот центр сертификации - раз...т - и сертифицирует себя от души на все и вся? Ну так, навеяно тем как комодохакер себе серты на все подряд выписал, вопрос то не теоретический а после вполне себе прецедентов вот именно этсамого :)))
> А что будет если атакующий вот этот центр сертификации - раз...т -
> и сертифицирует себя от души на все и вся?Всё от установленого уровня секьюрности зависит. Центр сертификации в серьёзных организациях не должен быть вообще онлайн, а на отдельных изолированных, географически распределенных машинах, доступ к приватному ключу по схеме авторизации Шамира, для того, чтобы подписать/отозвать сертификаты админов
> права админов должны быть так же легко отзываемыми через то же
> центр сетификации в случае когда один админ дал подруге поиграть на
> своем компютере и ликнули ключикиА что будет если атакующий вот этот центр сертификации - раздолбит - и сертифицирует себя от души на все и вся? Ну так, навеяно тем как comodohacker серты на все подряд вплоть до виндусапдейта выписал, вопрос то не теоретический, а после вполне себе практических прецедентов.
Это вы сами себе придумали сценарий и сами его радостно хакнули.
> Это вы сами себе придумали сценарий и сами его радостно хакнули.Вообще-то этот сценарий опробован на практике еще сто лет назад неким Comodohacker'ом. Который раздолбал фирму Diginotar (УЦ SSL такой _БЫЛ_ - уже не с нами) в хламину. Затроянив через АД - тадам - ВСЕ КОМПЫ В ФИРМЕ. И даже суперсекурная фирменная железка от RSA не помогла - он прямо ей и подписал серты на кучу всего. Включая виндусапдейт и прочие интересные вещи. Вы же хотели удобство? Так что процессить сертификаты ручками - ну что вы, как можно. Вот, удобно же, на автомате то.
...после чего дигинотар и не придумал ничего умнее как заявление на банкротство подавать, что еще УЦ с таким факапом и таким подарком в сети фирмы может то? :)
И кстати не так давно были прецеденты когда еще пару фирм через AD разнесли в таком же духе, но за их дальнейшей участью я не следил - запоминается только первый прецедент, показываюший что так можно было.
DHCP - костыль. Использовали бы IPX и не надо было бы никакого DHCP.
Опять же без всякой авторизации получать кучу настроек на устройство от того, кто первым откликнулся по сети, такое себе. Вот и приходится извращаться с RADIUS и 801.2x на свитчиках.
DHCP relay agent, DHCP screening - проблема решена лет 15 как минимум.
Психология виндовс админа и цисковода. С этим уже только на пенсию.
У меня длинки вебсмарт только, и венду я не админю уже лет 10 за деньги.
Так вроде при использовании VPN соединение должно быть зашифровано и злоумышленник всё равно ничего не прочтёт? Или я ошибаюсь?
Соединение между девасом где клиент и хостом где впн сервер - да.
Но суть в том, что впн клиент ставит маршрут 0.0.0.0/0 чтобы загнать весь трафик в туннель.
А по DHCP можно заслать пачку /1 маршрутов или даже просто до конкреных хостов/сетей, и тогда есть вероятность что ваше устройство начнёт посылать траффик не через впн туннель а через шлюз который будет указан для /1 такой подсети.У вас же грубо говоря доступ до веб админки роутера не пропадает при подключении впн, а дело в том, что до сети где эта админка обычно есть маршрут вида /24 через интерфейс и он имеет более высокий приоритет чем /0 от впн клиента (или роутера, до впн клиента /0 выдаёт вам дхпп сервер с адресом шлюза - роутером).
Надо пользоваться Tor over VPN.
Кто-то просто прочитал инструкцию к DHCP-серверу?) Уровень расследований возрос)
2 чая этому господину.Как любили говорить "вот и выросло поколение ..." и оно осваивает чудесные, удивительные технологии как постройка пирамид и DHCP.
Собственно именно поэтому и нужен ip netns - чтобы виртуальный интерфейс был единственно доступным для программы. И даже если ты как-то убедишь программу отправлять пакеты на небезопасные адреса, мимо vpn оно не пройдёт.Для TOR оно тоже актуально.
> Собственно именно поэтому и нужен ip netns - чтобы виртуальный интерфейс был
> единственно доступным для программы. И даже если ты как-то убедишь программу
> отправлять пакеты на небезопасные адреса, мимо vpn оно не пройдёт.
> Для TOR оно тоже актуально.Ну дык в дефолтном неэмспейсе сеть можно вообще выпилить. Так всякое фуфло с телеметрией конкретно обломается. Специальный бонус: нарулить логгинг и apt purge на всю выявленную спайварь.
Даже имея секурное клиентское устройство и правильную криптографию, можно получить MITM. Хаха.
Сеть доступа почти всегда идет через роутеры с проприетарными прошивками, ОС от сотрудничающих с ЦРУ корпораций, с незакрытыми уязвимостями, бэкдорами и тд и тп. Вероятность, что вашу локалку контролирует кто-то кроме вас или ее администратора очень велика в современном мире.Лично мне никогда не нравилась идея давать впн ради доступа к парочке админок. Для этого достаточно порт прокинуть через ссш туннель. Все это виндовс головного мозга. Ну и поделом.
А что в списке уязвимых делает wireguard?
Там нет никаких DHCP, захардкоженные в конфиге IP-адреса и allowed-ips.Понятно, что можно сделать любую надстройку, но это проблема надстройки.
А почему нет?
Вот вы будете ходить через варегард в инет (0.0.0.0/0), а провайдер вам выдаст пару (/1) маршрутов и получит весь ваш траффик в раскрытом виде.