Nieuws
image

Publieke hotspots ook met IPSec VPN niet veilig

vrijdag 21 november 2008, 12:37 door Redactie, 16 reacties

Wie denkt via IPSec VPN toch veilig gebruik van publieke hotspots te kunnen maken, komt bedrogen uit. Beveiligingsexpert Aviram Jenik was in China en wilde via het WiFi-netwerk van zijn hotel mailen. Als mailserver gebruikte hij die van zijn bedrijf, die via VPN toegankelijk is. Het hotel blokkeerde de VPN-verbinding, iets wat Jenik niet door had. De e-mailclient maakte namelijk gewoon verbinding met de mailserver. Normaal zou dit zonder VPN niet werken, maar de DNS van de hotspot resolvede onbekende hostnames naar een anonieme SMTP proxy. Hierdoor kan de gebruiker gewoon e-mailen, die denkt dat het over een beveiligde verbinding gebeurt, terwijl dat niet het geval is.

"Ik heb mijn lesje geleerd en de hostname naar een IP-adres veranderd. Binnenkort stap ik over naar SSL gebaseerde SMTP die de server zal authenticeren", aldus Jenik. Het Belgische beveiligersblog Security4all merkt op dat het gebruik van SSL VPN het probleem in dit scenario kan voorkomen, maar zelf kwetsbaar is voor man-in-the-middle aanvallen. Daarnaast is het verstandig om gebruikers te onderwijzen wat ze in het geval van bepaalde meldingen moeten doen.

Update: tekst aangepast, stuk over MiTM toegevoegd

Reacties (16)
21-11-2008, 13:16 door [Account Verwijderd]
[Verwijderd]
21-11-2008, 13:31 door [Account Verwijderd]
[Verwijderd]
21-11-2008, 13:37 door Anoniem
Dit heeft niks met IPsec te maken, maar met dat het mail programma.
21-11-2008, 14:04 door Anoniem
Vreemde zaak, je maakt toch eerst een VPN verbinding? Als dat niet lukt kan het ook niet goed gaan met je email.
Denk niet dat ik deze man inhuur.


Robert
21-11-2008, 14:17 door Arno Nimus
Door AnoniemDit heeft niks met IPsec te maken, maar met dat het mail programma.
Inderdaad. Er is geen pakketje over die VPN-verbinding gegaan, dus valt er ook weinig te zeggen over de veiligheid van VPN.

Dat is hetzelfde als wanneer er een weg tijdelijk afgesloten is en je daarom zegt dat je navigatiesysteem slecht is omdat die je over de afgesloten weg wilde leiden.

Enne... Een "beveiligingsexpert" die zijn mail gewoon over SMTP verstuurt zonder dat ie zeker weet dat ie de goeie SMTP-server te pakken heeft???

Beetje jammer...
21-11-2008, 14:18 door Arno Nimus
Oeps... Dubbel?
21-11-2008, 14:18 door Arno Nimus
Oeps... Ook dubbel?
21-11-2008, 14:37 door Anoniem
Klopt niet, IPSEC VPN is wel veilig alleen het OS niet.
De FW zou alleen verkeer naar het IPSEC device toe moeten laten staan met IPSEC traffic.
21-11-2008, 15:10 door Anoniem
Het verhaal had wel iets duidelijker kunnen zijn

Wat ik ervan begrijp

Hij heeft dus getracht een VPN op te zetten met zijn zaak en dat lukte niet maar hij was al evrbonden met het WIFI netwerk
Vervolgens heeft ie wel conncetie gemaakt met de mailserver echter niet via die vpn dus buiten om.
De mailserver was echter niet bekend (DNS) en hij werd geforceeerd naar een mailproxy omgeleid en die zorgde voor de connectie met zijn mailserver BUITEN DE VPN om. (EN iet ook wie wat verstuurd) ( Hij moet dus standaard inloggen met zijn credentials anders is het relaying en gaat het verhaal niet door, hetgeen weer niet nodig is bij een VPN want dan zit je al op het bedrijfsnetwerk )
21-11-2008, 15:14 door Anoniem
Wat beveiligt meneer? Voordeuren?
21-11-2008, 15:16 door [Account Verwijderd]
[Verwijderd]
21-11-2008, 15:57 door spatieman
normaal zou je toch een fout melding moeten krijgen, als je GEEN VPN verbinding krijgt ?
21-11-2008, 16:19 door [Account Verwijderd]
[Verwijderd]
21-11-2008, 16:40 door Anoniem
Ik ben van mening dat de titel van dit artikel aangepast dient te worden in:
"Onoplettende gebruiker met onbeveiligde laptop op publieke hotspot niet veilig"
immers IPsec VPN staat hier los van. Zolang het voor een gebruiker mogelijk is om zonder VPN naar "huis te bellen" en/of buiten een VPN-naar-huis om te kunnen gaan is dit te verwachten. Kortom beschermen van de endpoint is niet alleen een kwestie van buiten-naar-binnen maar ook van binnen-naar-buiten.
Noot: Pluim voor het hotel dat netjes een vervangende SMTP dienst levert, toch? ;-)
21-11-2008, 17:34 door SirDice
Door AnoniemKlopt niet, IPSEC VPN is wel veilig alleen het OS niet.
En waar is vermeld welk OS deze meneer gebruikt?
22-11-2008, 22:24 door Anoniem
Door SirDice
Door AnoniemKlopt niet, IPSEC VPN is wel veilig alleen het OS niet.
En waar is vermeld welk OS deze meneer gebruikt?

Doet er in essentie niet toe. Een OS, dat wel een VPN ondersteunt, maar niet meldt wanneer er niet via de VPN gewerkt wordt terwijl dat wel gewenst is, is imho inderdaad onveilig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search