Publieke hotspots ook met IPSec VPN niet veilig
Wie denkt via IPSec VPN toch veilig gebruik van publieke hotspots te kunnen maken, komt bedrogen uit. Beveiligingsexpert Aviram Jenik was in China en wilde via het WiFi-netwerk van zijn hotel mailen. Als mailserver gebruikte hij die van zijn bedrijf, die via VPN toegankelijk is. Het hotel blokkeerde de VPN-verbinding, iets wat Jenik niet door had. De e-mailclient maakte namelijk gewoon verbinding met de mailserver. Normaal zou dit zonder VPN niet werken, maar de DNS van de hotspot resolvede onbekende hostnames naar een anonieme SMTP proxy. Hierdoor kan de gebruiker gewoon e-mailen, die denkt dat het over een beveiligde verbinding gebeurt, terwijl dat niet het geval is.
"Ik heb mijn lesje geleerd en de hostname naar een IP-adres veranderd. Binnenkort stap ik over naar SSL gebaseerde SMTP die de server zal authenticeren", aldus Jenik. Het Belgische beveiligersblog Security4all merkt op dat het gebruik van SSL VPN het probleem in dit scenario kan voorkomen, maar zelf kwetsbaar is voor man-in-the-middle aanvallen. Daarnaast is het verstandig om gebruikers te onderwijzen wat ze in het geval van bepaalde meldingen moeten doen.
Update: tekst aangepast, stuk over MiTM toegevoegd
Denk niet dat ik deze man inhuur.
Robert
Dat is hetzelfde als wanneer er een weg tijdelijk afgesloten is en je daarom zegt dat je navigatiesysteem slecht is omdat die je over de afgesloten weg wilde leiden.
Enne... Een "beveiligingsexpert" die zijn mail gewoon over SMTP verstuurt zonder dat ie zeker weet dat ie de goeie SMTP-server te pakken heeft???
Beetje jammer...
De FW zou alleen verkeer naar het IPSEC device toe moeten laten staan met IPSEC traffic.
Wat ik ervan begrijp
Hij heeft dus getracht een VPN op te zetten met zijn zaak en dat lukte niet maar hij was al evrbonden met het WIFI netwerk
Vervolgens heeft ie wel conncetie gemaakt met de mailserver echter niet via die vpn dus buiten om.
De mailserver was echter niet bekend (DNS) en hij werd geforceeerd naar een mailproxy omgeleid en die zorgde voor de connectie met zijn mailserver BUITEN DE VPN om. (EN iet ook wie wat verstuurd) ( Hij moet dus standaard inloggen met zijn credentials anders is het relaying en gaat het verhaal niet door, hetgeen weer niet nodig is bij een VPN want dan zit je al op het bedrijfsnetwerk )
"Onoplettende gebruiker met onbeveiligde laptop op publieke hotspot niet veilig"
immers IPsec VPN staat hier los van. Zolang het voor een gebruiker mogelijk is om zonder VPN naar "huis te bellen" en/of buiten een VPN-naar-huis om te kunnen gaan is dit te verwachten. Kortom beschermen van de endpoint is niet alleen een kwestie van buiten-naar-binnen maar ook van binnen-naar-buiten.
Noot: Pluim voor het hotel dat netjes een vervangende SMTP dienst levert, toch? ;-)
Doet er in essentie niet toe. Een OS, dat wel een VPN ondersteunt, maar niet meldt wanneer er niet via de VPN gewerkt wordt terwijl dat wel gewenst is, is imho inderdaad onveilig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
