- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., tcpip, 11:31 , 07-Май-24 (1)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., КО, 12:04 , 07-Май-24 (12) +13 [^]
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Анониматор, 12:20 , 07-Май-24 (21) +3
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Анонимус3000, 12:42 , 07-Май-24 (25) +8 [^]
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 12:55 , 07-Май-24 (29)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 21:43 , 07-Май-24 (55)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., fi, 17:35 , 08-Май-24 (102) +1
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 22:05 , 08-Май-24 (109) +1
Только это часто ADSL/GPON где линк абонент-провайдер можно сказать физически изолирован от других абонентов. В других случаях часто бывает схема VLAN per customer, где опять же VLAN абонента терминируется провайдером и туда никто попасть не может. В прочих случаях провайдеры ВСЕГДА настраивают DHCP server screening / DHCP relay agent, потому что часто глупые абоненты втыкают провод провайдера в LAN порт своего роутера и через некоторое время все соседи остаются без инета и начинают доставать тех поддержку провайдера.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Bklrexte, 11:31 , 07-Май-24 (2)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 11:35 , 07-Май-24 (4) +6 [^]
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., cheburnator9000, 12:15 , 07-Май-24 (18)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 13:43 , 07-Май-24 (35) +2
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Banned, 14:12 , 07-Май-24 (38)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Бывалый Смузихлёб, 07:44 , 08-Май-24 (87) –5 [V]
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Вирт, 11:40 , 07-Май-24 (5) +3
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 11:34 , 07-Май-24 (3) –1
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 12:40 , 07-Май-24 (23)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., 1, 13:35 , 07-Май-24 (32) +1
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 22:57 , 07-Май-24 (61)
Не вариант, когда у тебя больше двух хостов. А в современном жилье их даже у старушек легко оказывается 3+.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Бум, 18:40 , 10-Май-24 (128)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 11:41 , 07-Май-24 (6)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 12:17 , 07-Май-24 (19) +1
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., cheburnator9000, 12:19 , 07-Май-24 (20) +1
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 14:56 , 07-Май-24 (42)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 21:45 , 07-Май-24 (56)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 22:59 , 07-Май-24 (62) +1
Чувак, у тебя проблема не техническая а административная. Перехват твоего трафика провайдером должен быть наказуем по закону, если же ты опасаешься за свою шкуру при этом то либо надо менять локацию либо вид деятельности.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., fidoman, 18:22 , 08-Май-24 (103)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 11:43 , 07-Май-24 (7) +1
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 21:47 , 07-Май-24 (57)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 23:00 , 07-Май-24 (63)
И бегать настраивать по десяткам девайсов? Лучше купите веб смарт свитч и настройте dhcp sreening.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 02:27 , 08-Май-24 (75)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 04:23 , 08-Май-24 (80)
У меня dnsmasq ни разу ни где не падал. А вообще, в локалке может быть куча DHCP серверов одновременно, и можно даже настроить чтобы они резервировали друг друга.Уязвимости у вас в фантазиях. Задержка - где то от 1мс, те на уровне пинга. Но в зависимости от конфига дхцп сервера может быть больше.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 11:06 , 08-Май-24 (94)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 11:09 , 08-Май-24 (95)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 13:09 , 08-Май-24 (100)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 19:17 , 09-Май-24 (120)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 11:51 , 07-Май-24 (9)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 23:07 , 07-Май-24 (64) +1
Это не так работает :)В ОС есть общая таблица маршрутизации. Чем более длинный префикс - тем более приоритетный маршрут. Вот у вас локалка до роутера 192.168.1.0/24, и роутер выдал вам дефолтный 0.0.0.0/0 через себя в инет. Вы запустили впн клиента и он условно добавил маршрут до своего 1.2.3.4/32 через роутер, потом удалил 0.0.0.0/0 через роутер и добавил 0.0.0.0/0 через роутер на том конце впн туннеля. При этом вы всё ещё можете ходить по 192.168.1.0/24 потому что оно более приоритетно. И это правильное поведение. Бывают варианты когда есть галочка типа "блокировать весь траффик мимо впн туннеля", вот она должна добавлять фаервольные правила для фильтрации всего что мимо тунеля. Есть ещё отдельная тема с name spaces в линухе и routing tables во фре. В обоих случаях есть возможность назначить отдельным приложениям свои особенные таблицы маршрутизации. На практике я бы сказал что это специфичная фича и лично я стараюсь такого избегать.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., wd, 04:44 , 08-Май-24 (85) +1
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 11:54 , 07-Май-24 (10) +3
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 12:06 , 07-Май-24 (14) +1
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., MEXAHOTABOP, 12:10 , 07-Май-24 (17) +1
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 23:11 , 07-Май-24 (65) +1
Поиск идёт по самому длинному префиксу. Самым приоритетным будет /32, потом /31 и так до /0. /1 менее приоритетный чем /24. Потому что есть p2p линки, там /32 на другом конце и понятно что даже если там 192.168.1.22 хост то нужно к нему ходить именно через отдельный p2p интерфейс а не искать его в локалке где 192.168.1.0/24 куча похожих адресов. Вы не можете добавить в таблицу маршрутизации две одинаковых записи. (там могут быть исключения, кажется бывают разные метрики для одного маршрута, но это не во всех ОС и тема сильно адвансед для того кто спрашивает такое :) ).
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., OpenEcho, 23:36 , 07-Май-24 (72)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 12:06 , 07-Май-24 (13)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Алкоголизм, 12:51 , 07-Май-24 (27)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Banned, 13:57 , 07-Май-24 (36)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 15:00 , 07-Май-24 (43) +1
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 23:15 , 07-Май-24 (67) –1
Вы же верите электрикам и сантехникам - они вам базовый сервис организуют. Или вы из тех кто дома прежде чем унитазом воспользоватся проверяет его на все возможные подлости? Мне вот интересно, а как вы обезопасиватесь от того что из унитаза может вынырнуть питон и цапнуть вас?) (кейсы из австралии)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 08:19 , 08-Май-24 (89) +1
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 22:06 , 08-Май-24 (110)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 22:19 , 08-Май-24 (111)
Уже ДАВНО есть дифф автоматы, которые гарантируют что если вы схватитесь за провод с фазой то автомат отключит электричество раньше чем вы почувствуете что вас бьёт током. Обычно таких автоматов минимум два в цепи, в некоторых вариантах такие втоматы ещё и в каждой розетке.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 18:25 , 09-Май-24 (117)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 01:48 , 10-Май-24 (121)
У нас дифф миним по разу на каждом срабатывал, никто ничего не почуствовал :)Дифф вовсе не дорогой, единственная причина по кторой их могут ставить на группу - размеры х2 или х3. Как я говорил - бывают розетки со встроенным дифф, там вырубит по месту.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 06:47 , 11-Май-24 (133)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 01:08 , 12-Май-24 (138)
Дифференциальный автомат Schneider Electric EZ9D22640 - 5500 руб, это самый дорогой однофазный что я нашёл сходу в местных прайсах. Самые дешманские примерно от 500 руб.Если для вас 55 евро за свою жизнь или жизнь близких это дорого - ну ок :) (типа хотя бы один то хороший можно купить на всю хату) В нормальных местах к водонагревателю делают изначально отдельную проводку от щитка и там всегда есть возможность поставить дифф и не страдать фигнёй надеясь на производителя. И подозреваю что любой производитель в инструкции по монтажу пишет что подключать только в розетку после дифф автомата.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 18:43 , 09-Май-24 (118)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 01:58 , 10-Май-24 (123)
Дифф автомату земля не нужна от слова совсем, он срабатывает от РАЗНИЦЫ (дифф же) силы тока в обоих проводах.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 18:42 , 10-Май-24 (129)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 02:30 , 11-Май-24 (131)
Да, и утекает оно обычно через тушку человека, который стоит ногами на полу или взялся за холодильник и батарею. Иметь заземление желательно, но не обязательно, в самом автомате его подключать некуда. https://electrograd.pro/blog/chto-takoe-difavtomat-i-dlya-ch.../У меня в одной хате 2 дифф автомата: один на ванную и там только стиралка. Другой на кухню - там пачка розеток. Это прекрасно работает. Обычно ещё ставят общий дифф на входе в хату чтобы покрыть вообще всё.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 06:59 , 11-Май-24 (134)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Tron is Whistling, 14:48 , 07-Май-24 (40) +2
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 16:00 , 07-Май-24 (46) +1
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 17:21 , 07-Май-24 (48)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Oleg, 21:08 , 07-Май-24 (54)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 23:16 , 07-Май-24 (68)
Чувак, есть DHCPv6, и есть RA. Они все ни чуть не лучше DHCPv4, просто там IPv6.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 17:23 , 07-Май-24 (49)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 23:18 , 07-Май-24 (69)
Почитайте уже какие опции есть в DHCP. Там не только список DNS, но NTP, SMTP, IRC, WINS, и уже не помню чего ещё.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 03:43 , 08-Май-24 (78)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 04:30 , 08-Май-24 (82)
1. Клиент в запросе указывает опции которые он хочет. Если сервер передаст лишнее то клиент это проигнорит. А может и вообще дропнет пакет, надо смотреть настройки и реализации. 2. Крипта не нужна. В управляемой сети ответы можно получать только от строго определённых админом хостов подключённых к определённым портам.
3. Есть совсем управляемые сети, где хосту надо пройти авторизацию прежде чем коммутатор его выпустит в общую сеть. На практике такое редко делают, обычно в совсем лютых местах в плане безопасности :) Авторизация там не хуже чем в вифи: пароль или сертификат, но без возможности перехвата.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 04:33 , 08-Май-24 (83)
И да, админ сети может положить на вас с прибором и просто на фаере завернуть все запросы к 123 порту на свой локальный NTP сервер. Аналогично с DNS. Я так иногда делаю и делал. Ещё и 80 в сквид на кеширование и резалку рекламы заворачивал раньше.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 22:53 , 07-Май-24 (59)
Мда. А ещё электрик или просто хуллиган может провести DoS атаку и вырубить автомат в подъездном щитке. А другой хулиган может какахами с потолка топить что приведёт к повреждению электроники. И ещё 100500 вариантов из серии "враждабное окружение". DHCP - мастхэв, статика - это для лузеров из прошлого века и p2p линков. В адекватной локалке уже пора бы обзавестись управляемыми коммутаторами хотя бы web smart серии (где всё мышкой через браузер), стоят они не сильно дороже не управляемых, зато там можно все левые DHCP хосты отфильтровать так что они смогут хакать только себя. Там на самом деле куча всяких фишек, включая ARP/ND испекцию, упомянутый выше DHCP screening и тп.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 04:35 , 08-Май-24 (84)
Теперь ждём от авторов такие новейших открытий как: - DoS атака на DHCP сервер для исчерпания свободных лиз; - WPAD извращения с подсовыванием своих проксей, как через DHCP так и через регистрацию доменов.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., OpenEcho, 13:31 , 08-Май-24 (101)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 21:41 , 08-Май-24 (106)
Зачем нужные фаеры за пределами роутера?)> на всех рабочих станциях файрволы акцептят только установленный админом IP of DHCP и режет все левые bootpc (кстати будет работать и с "новостью"). Это вас никак не защитит. В неуправляемой локалке я могу вам отправлять с любого MAC+IP любые пакеты. Защита от подмены MAC - port inspection у длинка называется и позволяет ограничивать количество MAC адресов на каждом порте коммутатора. Правда это не удобно при наличии виртуалок, придётся им или без инета или нужно NAT поднимать на хосте виртуализации. DHCP relay agent, DHCP screening - это как раз чтобы коммутатор фильтровал лишнее и пересылал только от нужных DHCP серверов пакеты.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., OpenEcho, 17:28 , 09-Май-24 (115)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 01:55 , 10-Май-24 (122)
Доверие не нужно. Я вообще думаю почти полностью отказатся от фаера дома и расшарить локалку в инет. На приватных сервисах поставлю TTL=1 и оно само автоматом за локалку не выйдет. > 802.1X
Не удобно, им на практике почти никто не пользуется. И я вам не про дурацкую фильтрацию по IP которую вы собрались на каждом хосте настраивать, а про фильтрацию DHCP на уровне коммутатора, которая настраивается один раз и для всех сразу.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 21:44 , 08-Май-24 (108)
> DNS: http(s)?://wpad.* => reject Это какой такой DNS сервер у вас http/https понимает в конфиге?))))
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., OpenEcho, 17:44 , 09-Май-24 (116)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 02:04 , 10-Май-24 (124)
Походу с понимаем у вас не очень :) С админством тоже, ибо вместо централизованного управления у вас индивидуальный тюнинг каждого хоста.Сомневаюсь что у вас есть представление о том, как блочить WPAD на уровне фаера, особенно если это не ngfw какой нить а условных *tables в линухах. У нормальных админов WPAD блочится и на уровне DHCP и на уровне DNS сервера на роутере. DHCP выдаёт WPAD на роутер, роутер отдаёт там DIRECT. Это 5 строчек, 4 из которых в nginx. В DNS нужно прописывать либо регэкспами либо пачку записей, для этого надо почитать доку и узнать как клиенты перебирают доменные имена в поисках.
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., 1, 09:30 , 08-Май-24 (90)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 20:43 , 08-Май-24 (104)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 23:26 , 07-Май-24 (71)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Ivan_83, 01:39 , 08-Май-24 (74) +1
Соединение между девасом где клиент и хостом где впн сервер - да. Но суть в том, что впн клиент ставит маршрут 0.0.0.0/0 чтобы загнать весь трафик в туннель. А по DHCP можно заслать пачку /1 маршрутов или даже просто до конкреных хостов/сетей, и тогда есть вероятность что ваше устройство начнёт посылать траффик не через впн туннель а через шлюз который будет указан для /1 такой подсети.У вас же грубо говоря доступ до веб админки роутера не пропадает при подключении впн, а дело в том, что до сети где эта админка обычно есть маршрут вида /24 через интерфейс и он имеет более высокий приоритет чем /0 от впн клиента (или роутера, до впн клиента /0 выдаёт вам дхпп сервер с адресом шлюза - роутером).
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 09:46 , 08-Май-24 (91)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 10:01 , 08-Май-24 (92) +4
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., anonymous, 13:06 , 08-Май-24 (98)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 20:55 , 08-Май-24 (105)
- Атака TunnelVision, позволяющая перенаправить VPN-трафик чер..., Аноним, 12:16 , 09-Май-24 (114)
|