Faille VPN pour les utilisateurs d’IPv6

[Tunnk]

Aie, une nouvelle révélée par torrentfreak, annonce que le protocole VPN basé sur le PPTP couplé au système IPv6 pourrait rendre vulnérable un internaute soucieux de son identité virtuelle. Certains utilisateurs étant intéressés par les offres VPN pour télécharger sur leur iso linux sur les réseaux BitTorrent et qui utilisent a la fois le protocole PPTP couplé à de l’IPv6 sont désormais visible avec leur ip réelle sur la toile et surtout sur le P2P. Ipredator le système de VPN anonymisant proposé par les fondateurs du tracker thepiratebay est également touché par la faille tous les utilisateurs sont donc potentiellement détectable par n’importe quelle personne sachant exploiter la faille.

Source : http://www.tunnk.net/faille-vpn-pour-les-u...teurs-dipv6.php

[Bashy]

stoppez les "failles par ici, failles par là" ce n'est pas une faille, juste que quand on fait du VPN, on regarde comment ça marche, on fait pas clique et clique et pouf ça marche, comme un goret.

[crocodudule]

Etre un peu plus pédagogue ne peut pas faire de mal Bashy.

La "faille" repose sur le fait que l'IPv6 donne normalement une IP par équipement connecté à un abonnement internet. Pour faire simple, lorsqu'on est en IPv4 seul le modem a une IP visible depuis internet, les postes derrières le modem ont des IP internes au réseau local (non routables sur internet).

En IPv6 tous les équipements ont une IP visible sur internet (pas totalement vrai, car il existe aussi la possibilité d'avoir une IPv6 non routable sur internet).

Le problème n'affecte que les VPN reposant sur le PPTP. Si les responsables travaillent comme des manches, ils peuvent permettre aux clients de dialoguer directement entre eux (et non pas uniquement via le serveur par exemple). Le résultat étant que si les clients ne configurent pas correctement la visibilité de leur poste sur le VPN, tout le monde peut voir tout le monde, impliquant que les clients puissent récupérer les IP des autres postes présents sur le VPN. En IPv4 on va récupérer une IP qui ne peut pas être exploitée pour remonter jusqu'à l'abonné, puisqu'il s'agit d'IP interne au réseau local de l'abonné (par exemple 192.168.0.1 ...). En revanche, en IPv6, l'IP récupérée va bien correspondre à une IP permettant de remonter à l'abonné, l'IP étant une IP unique sur le net et alors que le FAI sait la plage d'IPv6 qu'il a attribué à son abonné à un instant T.

Cependant, il ne s'agit pas véritablement d'une faille mais d'une maladresse de configuration. Il faut ajouter qu'un VPN où les clients peuvent directement se voir n'est possible que si l'on a confiance dans chaque client. C'est probablement là qu'il faut revoir la démarche de certains VPN.

Accessoirement, il faut savoir que pas mal de plugins (flash, appli. java...) ne sont pas capables (du moins par défaut et selon comment l'appli. web a été codée) de passer par le VPN et utilisent donc la véritable IP faisant tomber l'intérêt du VPN.

Perso. j'utilise OpenVPN a titre professionnel, lequel n'est pas affecté par le défaut pointé dans l'article.

Enfin, avis totalement personnel et pas directement en lien avec le post. L'IPv6 si elle est/sera une nécessité en raison du manque d'IPv4 disponibles, risque, je le crains, d'aggraver les problèmes de traçabilité sur internet, sans même aborder les questions liées aux VPN.

[Higapeon]

Perso. j'utilise OpenVPN a titre professionnel, lequel n'est pas affecté par le défaut pointé dans l'article.

Pour être légèrement plus précis : le SSTP (ou SSL VPN, dépend des appellations) n'est pas impacté :)

[patos]

Perso. j'utilise OpenVPN a titre professionnel, lequel n'est pas affecté par le défaut pointé dans l'article.

Pour être légèrement plus précis : le SSTP (ou SSL VPN, dépend des appellations) n'est pas impacté :)

Tous les protocoles sont potentiellement INpactés à partir du moment ou le client-to-client est activé.

Normalement, un VPN ne permet pas à ses clients de communiquer entre eux. Seulement vu que les VPNs sur lesquels vous vous penchez ne sont pas des VPNs de sécurité mais de déportation d'accès, essentiellement portés sur le piratage, le client-to-client permet de moins charger les routeurs et d'optimiser le traffic P2P.

Vous voulez un truc sans faille? Prenez un vrai prestataire, pas un truc à 5¤, mais plutôt 20-30¤.

[fabien29200]

Accessoirement, il faut savoir que pas mal de plugins (flash, appli. java...) ne sont pas capables (du moins par défaut et selon comment l'appli. web a été codée) de passer par le VPN et utilisent donc la véritable IP faisant tomber l'intérêt du VPN.

J'ai du mal à voir comment ces applications pourraient passer outre les routes système ...

Peux-tu préciser comment c'est possible ?

Sinon concernant le VPN, il ne faut pas perdre de vue qu'il a été conçu pour entrer sur un LAN via Internet. Ce sont des notions très IPv4 caduque dans le cas d'IPv6 où tout le monde peut voir tout le monde.

[Amour]

Accessoirement, il faut savoir que pas mal de plugins (flash, appli. java...) ne sont pas capables (du moins par défaut et selon comment l'appli. web a été codée) de passer par le VPN et utilisent donc la véritable IP faisant tomber l'intérêt du VPN.

J'ai du mal à voir comment ces applications pourraient passer outre les routes système ...

Peux-tu préciser comment c'est possible ?

Sinon concernant le VPN, il ne faut pas perdre de vue qu'il a été conçu pour entrer sur un LAN via Internet. Ce sont des notions très IPv4 caduque dans le cas d'IPv6 où tout le monde peut voir tout le monde.

Je pense plutôt qu'il confond avec les proxy

[crocodudule]

Plus précisément, j'ai fait un raccourci. Si j'ai bien capté le principal usage fait des VPN PPTP, du moins en ces temps d'hadopi, il s'agit surtout d'avoir un VPN et un proxy pour naviguer sur le net avec l'ip du service délivrant le VPN. Et dans ce cas, il y a pas mal de pluguin qui n'utilisent pas le proxy. (Il y a des pages de tests pour TOR qui invitent à désactiver le java et le flash et affichent l'ip publique réelle, illustrant que l'on peut récupérer l'ip publique si l'appli. web ne prend pas en charge la connexion par proxy).

[Amour]

Avec un VPN, un proxy n'est pas nécessaire

[crocodudule]

Exact, je pensais plus à la possibilité de router toutes les requêtes vers le VPN, parce que mon OpenVPN ne fait que me connecter au réseau local de l'entreprise qui dispose d'un proxy. (Que je peux donc utiliser à distance).

J'avais trouvé un howto sur comment configurer OpenVPN pour y faire passer les requêtes internets des clients, si quelqu'un a le lien je suis preneur, j'arrive pas à le retrouver.

[Amour]

En fait, le mode routing de OpenVPN n'est utilisable que si le serveur OpenVPN fait routeur... donc peut-être qu'ils ont mis un proxy pour s'épargner cela ?

[crocodudule]

En fait le "ils" c'est moi , j'avais vu l'option mais je voulais surtout filtrer certain truc sur le réseau du bureau, donc proxy car c'est facile. J'ai ensuite monté un OpenVPN pour pouvoir utiliser les logiciels métiers comme si on était sur le LAN mais à distance.

Là je suis en déplacement à l'étranger (travail/vacances) et je constate que le terme neutralité du net est aujourd'hui totalement remis en cause, du coup j'utilise le proxy en France via le VPN à partir de l'étranger pour pouvoir accéder à certains sites qui me bloquent avec une IP étrangère (deezer n'est vraiment pas isolé, même des simples sites d'information me bloquent). Du coup ton post m'a fait penser que je pouvais router toutes les requêtes internet à la place de passer par le proxy (certains protocoles sont pas fans).

Je sais que c'est théoriquement faisable avec OpenVPN mais que la configuration n'était pas des plus simples (je la retrouve et poste le lien).

EDIT:

http://www.openvpn.net/index.php/open-sour...o.html#redirect

Il faut pas se ramasser sur les tables. Du coup, je reporte le test au jour où je rentre car je veux pas me mettre le serveur en carafe sans être devant la machine

[Amour]

J'admets n'avoir mis en place ce routeur OpenVPN que sur un Windows Server...

Avez-vous aussi un serveur Windows, ou Linux ?

[patos]

Ce n'est pas OpenVPN qui va faire le routage, mais un logiciel tiers. Openvpn ne fait que fournir des données sur une interface réseau, c'est tout.

C'est assez simple en soit. Beaucoup de tuto existe sur le routage (qui n'est pas spécifique à openvpn)

[crocodudule]

Le serveur est sous windows xp pro.

Patos, oui naturellement, il faut faire du NAT sur le serveur ou installer un serveur dns si j'ai bien regardé en plus de router les requêtes vers le serveur. Mais si tu as tuto clair je suis preneur

[patos]

Sous XP Pro? Tu n'as rien à faire de compliqué

Tu définis ton OPENVPN comme étant en mode "Ethernet" et non pas en mode "IP" (très important pour pas être emmerdé).

Dans les connexions réseaux, tu fais bouton droit, propriété, partager, et tu choisis de partager la connexion sur l'interface OPENVPN uniquement.

Windows va gratter pendant 5 à 30mn (sisi), tu le laisse faire: il va tout seul mettre en place une IP Fixe, un DHCP, un NAT, et un relai DNS. Par contre je crois qu'il le fait en 192.168.1.1/24, donc attention à un conflit avec le réseau local (il me semble qu'on peut changer l'IP par la suite, que le DHCP s'adapte).

Amuses-toi bien :)

[Amour]

C'est en effet la seule méthode possible, car le mode nat ou routeur en ligne de commande est désactivé sur les Windows clients... seule la version serveur le permet

[crocodudule]

Ok merci pour ces bonnes explications

Ainsi que pour la précision du temps de moulinage, je l'avais fait pour une autre raison (le partage...) et j'avais laissé tombé voyant que cela tournait sans jamais s'arrêter, j'avais pensé que cela ne fonctionnait pas alors qu'en fait il faut le laisser travailler un long moment.

[patos]

Tu lance le partage et tu te casse bouffer barbeuk ou resto, voir tu file à la piscine hihihi