Neue Informationen zum WebRTC IP Leak

PP Frank

Staff member
Ihr solltet die Firewall-Optionen ab und zu mal testen. Wie es aussieht haut euch irgendeine Anwendung die Firewall von Windows teilweise durcheinander. Sobald man die zurücksetzt funktioniert wieder alles einwandfrei. ich hatte das beim teamviewer Support bei einigen leuten vorher schon mal. Dem Nutzer fällt das aber teilweise nicht auf, da die DNS-Leakprotection auf Dauerhaft gestellt ist und er ohne VPN durch unsere DNS-Server eh keine Seite anwählen kann, da die ohne VPN nicht auflösen
 

Alex

Active Member
Jetzt bin ich auch verwirrt.:(:eek:

Bin jetzt mit OpenVPNManager 1.6.x final und einem PP-Server verbunden.
Win7 64-Bit in VM, Firewall und DNS-Leak-Schutz bei Programmstart aktivieren angehakt.
Als normaler User am System angemeldet.
Mehr habe ich nicht gemacht!
Im FF ist media.peerconnection.enabled auf false gesetzt, aber FF noch nicht neu gestartet.

ping -S 192.168.178.10 8.8.8.8

Ping wird ausgeführt für 8.8.8.8 von 192.168.178.10 mit 32 Bytes Daten:
Antwort von 8.8.8.8: Bytes=32 Zeit=221ms TTL=58
Antwort von 8.8.8.8: Bytes=32 Zeit=255ms TTL=58
Antwort von 8.8.8.8: Bytes=32 Zeit=195ms TTL=58
Antwort von 8.8.8.8: Bytes=32 Zeit=219ms TTL=58

Ping-Statistik für 8.8.8.8:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 195ms, Maximum = 255ms, Mittelwert = 222ms
 

PP Frank

Staff member
Der Ping Test und WebRTC sind zwei paar Schuhe. Der Ping geht dennoch, auch wenn WebRTC aus ist. Dazu auch im Blog der Satz. Mit dem Ping testest du lediglich obs grundsätzlich ist.
Auch bei dir der Tip: Gehe mal ins Netzwerkcenter von Windows, setze die Windows-Firewall zurück auf Standard, Manager neu Starten, Verbinden und dann nochmal den Ping setzen
 

PP Stephan

Staff member
Dass der Ping-Test geht, heisst nicht unbedingt, dass die IP geleaked wird. Nur dann, wenn wirklich nicht über das VPN geroutet wird. Der Test ist wie folgt gedacht:

1: Ping OHNE VPN nach 8.8.8.8 und Latenzzeit merken (Zeit=30ms o.ä.)
2. Ping MIT einer VPN-Verbindung zu einem weit entfernten Server. Brisbane eignet sich gut. Die Latenzzeit sollte nun deutlich höher sein, weil die Pakete erst von Euch nach Brisbane und dann zurück nach Google gehen.
3. Jetzt ping -S 8.8.8.8 während die VPN-Verbindung noch besteht. Wenn die Latenz so bleibt wie bei 2) wird immer noch über VPN geroutet. Ist aber die Latenzzeit wieder so gering wie bei 1), wird das VPN umgangen.
 

Alex

Active Member
@PP Stephan
Habe ich jetzt ausprobiert und *Schock*:eek:, denn es ist bei mir wie bei dir unter Punkt 3 beschrieben - er umgeht den VPN!:eek:
Hilfe!!

Also von vorn:
Ohne VPN ping 8.8.8.8 bringt 23ms
Mit VPN (Brisbane) ping 8.8.8 bringt 416ms
Mit VPN (Brisbane) ping -S 192.168.178.10 8.8.8.8 bringt wiederrum 23ms
 

Alex

Active Member
JackCarver;n12196 said:
Was zeigt denn der VPN Test von PP? Also auf deren Checkseite?
Da scheint alles ok zu sein!
Es wird mir der VPN angezeigt über den ich verbunden bin.
Die Metadaten sind alle -empty-.

JackCarver;n12196 said:
Bei nem ping 8.8.8.8 routet er dich übern VPN, in dem Fall müsstest du dir aber eigentlich ein ping -S VPN-IP 8.8.8.8 denken, da der Ping über'n VPN Adapter raus geht, der ja irgendne 10er IP hat.
Ah, ok, dann ist also alles ok?
Kann ich das mit der VPN-IP irgendwie testen (wie komme ich an die 10'er IP)?
 

JackCarver

Well-known Member
Hi, ich kann leider nur von OSX reden, deswegen hab ich meine Antwort wieder gelöscht. Wenn es unter Win wirklich so ist, dass das geht, dann ist das eben Win, unter OSX geht das nicht mit Quell und Ziel-IPs aus unterschiedlichen Netzen. Du hast ja einmal dein LAN, das du ohne VPN nutzt und dann das VPN, beide funktionieren in unterschiedlichen privaten Netzen, zb 192.168.2.0/24 oder 10.8.8.0/24.

Es sollte eigentlich nicht möglich sein, mit ner IP aus dem 192.168.2.0/24er Netz durch den VPN Tunnel den 8.8.8.8 anzupingen, da es wie gesagt unterschiedliche Netze sind. Das VPN funktioniert nicht im192er Netz. Von daher bringt der Test eigentlich nix.

Wenn ich zb unter OSX (verbunden mit VPN Brisbane) ein:

ping -S 192.168.2.13 8.8.8.8

mache kommt ein No Route to Host, was auch so sein sollte. Mach ich dagegen ein:

ping -S VPN-IP 8.8.8.8 dann geht das aber natürlich mit denselben Zeiten wie ein ping 8.8.8.8 ohne Quell-IP.

Die 10er IP sollte Win mit einem ipconfig unter der Konsole anzeigen.

Anders ausgedrückt, wenn unter Win ein:

ping -S 192.168.178.10 8.8.8.8

geht, dann aber nicht über den VPN Server, sondern direkt über deinen Router, da du den VPN Server mit ner Quell-IP aus deinem LAN nicht erreichen kannst, sondern nur deinen Router, der auch ne IP aus deinem LAN besitzt.
 

PP Stephan

Staff member
Alex;n12192 said:
@PP Stephan
Habe ich jetzt ausprobiert und *Schock*:eek:, denn es ist bei mir wie bei dir unter Punkt 3 beschrieben - er umgeht den VPN!:eek:
Hilfe!!

Also von vorn:
Ohne VPN ping 8.8.8.8 bringt 23ms
Mit VPN (Brisbane) ping 8.8.8 bringt 416ms
Mit VPN (Brisbane) ping -S 192.168.178.10 8.8.8.8 bringt wiederrum 23ms


Kannst Du uns mal deine Routing-Table per mail schicken (wenn eine VPN Verbindung aufgebaut ist)? In der Konsole

route print >routing.txt

Dann liegt im aktuellen Verzeichnis die Datei routing.txt, die Du an eine E-Mail an PP support schicken kannst.
 

JackCarver

Well-known Member
@Stephan:

Wenn meine LAN IP zb die 192.168.2.13 ist, kann dann unter Win ein:

ping -S 192.168.2.13 8.8.8.8

überhaupt jemals durch den Tunnel gehen? Da müsste ja die 192er Quell-IP ins 10er VPN Netz umgebogen werden. Wenn dann sollte dieser ping in jedem Fall am VPN vorbei gehen oder eben gar nicht funktionieren wie unter OSX.
 

Dr_Iwan_Kakalakow

Active Member
Ich (Win7/64Bit) habe im Firefox-about:config die Lücke erst einmal geschlossen und warte auf das neue BETA-Update von PP. So weit, so gut.

Aber mal ganz allgemein zu dieser Webrtc-Lücke und dem immer wieder damit verbundenen Stun-Server:
Ich verstehe den genauen Ablauf noch nicht.
Angenommen ich surfe unter PP-Amsterdam und Tunnel-Rotterdam auf die PP-Webseite https://secure-mail.biz/ und schaue in mein Mailfach.
Wo sitzt denn nun dieser verräterische Stunserver und teilt meine wahre Verbindungsroute mit?
Sitzt der bei meinem Provider, bei PP (stellvertretend für irgendeine andere Webseite) oder nur im Firefox?
Kann jeder Webseitenbetreiber, wenn er mag (und wie geht das?) nun meine wahre Verbindungsroute sehen?

Vielleicht kann mir jemand das Grundprinzip dieser Lücke verständlich beschreiben.
 

PP Stephan

Staff member
Dr_Iwan_Kakalakow;n12204 said:
Ich (Win7/64Bit) habe im Firefox-about:config die Lücke erst einmal geschlossen und warte auf das neue BETA-Update von PP. So weit, so gut.
Angenommen ich surfe unter PP-Amsterdam und Tunnel-Rotterdam auf die PP-Webseite https://secure-mail.biz/ und schaue in mein Mailfach.
Wo sitzt denn nun dieser verräterische Stunserver und teilt meine wahre Verbindungsroute mit?

Das ganze wird ja nur dann zum Problem, wenn Du unsichere Seiten besuchst. Nämlich solche, die boshaft WebRTC benutzen um über irgendeinen STUN-Server (egal wo der steht) die oeffentliche IP rauszufinden. Solange Du keine unsicheren (oder kompromittierte) Webseiten besuchst, besteht auch kein Risiko.

Allgemein noch was anderes:

Daniel Roesler hat seinen Proof-of-Concept-Code aktualisiert, so dass dies nun in Chrome auch mit installiertem WebRTC-Block funktioniert. Eine kurze Suche nach ALternativen ergab, dass µBlock (erhältlich hier: https://chrome.google.com/webstore/detail/µblock/cjpalhdlnbpafiamejdnhcphjbkeiagm/related) momentan immer noch dagegen funktioniert.
 

Dr_Iwan_Kakalakow

Active Member
Danke Stephan !
Kurze Zusammenfassung:
Wenn ich Firefox nicht umstelle und der Webseitenbetreiber diese Lücke aktiviert hat, dann sieht man die Verbindungroute.
Ein Nachfrage noch:
Und mein Provider?
 

Fowel

Member
lasst euren Kram doch einfach komplett über ne virtuelle Maschine laufen und gut...
Da kann euch keiner was!
 

JackCarver

Well-known Member
Kurze Zusammenfassung:
Wenn ich Firefox nicht umstelle und der Webseitenbetreiber diese Lücke aktiviert hat, dann sieht man die Verbindungroute.
Ein Nachfrage noch:
Und mein Provider?

​Sofern du den PP Manager verwendest und die Firewall hochgefahren ist, sollte das kein Problem sein. Dein Provider kennt sowieso deine reale öffentliche IP, dazu braucht er kein WebRTC.
Er erkennt aber nicht wohin du nach dem VPN Server surfst und das ist ja das wichtige an der Sache.
 

theoth

Active Member
Das mit dem ping geht bei Linux auch. heißt hier allerdings ping -I eth0 (z.B.). dann geht das routing so, als ob der ping von eth0 aus geht und damit am vpn vorbei - voll normal also.
Diese STUN-Geschichte kenne ich nur von VOIP - damit der VOIP-Adapter hinter einer Firewall der Gegenstelle sagen kann, wie er erreichbar ist ==> mal danach googeln
Der STUN-Server ist ein spezieller server, der z.B. bei meinem VOIP-Adapter auf port 10000 hört und in seiner Antwort die externe IP mitliefert. Den kann jeder aufsetzen, der es für sinnvoll hält. In diesem Fall ist es wohl ein Server von Mozilla, der die STUN-requests beantwortet.
Wenn also ein Java-script solch einen STUN request über das richtige Interface absetzt, kriegt es die exterme IP als Antwort präsentiert.
Ein legitimer Service wird das vermutlich nicht mißbrauchen, aber theoretisch kann jede Seite so ein Java-script einbauen und das Ergebnis (die externe IP) verwenden, wie sie will.
 

Dr_Iwan_Kakalakow

Active Member
PP Frank;n12224 said:
@Dr
Du meinst wegen "auf Standard zurücksetzen"?

Ich weiss jetzt nicht genau was Du meinst. Meinst Du das mit dem Standard auf ein virtuelles Laufwerk bezogen?

Zum virtuellen Laufwerk:
Ich lese darüber sehr viel und das klingt auch alles top.
Ich habe das auch mal versucht, aber dann sind nicht nachvollziehbare Fehler aufgetaucht und ich habe erneut festgestellt, dass solche speziellen PC-Dinge mir nicht liegen.
Ich sträube mich innerlich viel zu sehr dagegen. Das liegt einfach daran, dass ich für neue Sachen nicht mehr so zugänglich bin. Vor allem auch, weil PC-Dinge sowieso nicht meine Stärken sind. Mein Interesse und mein Engagement liegt woanders. PC nur dann, wenn es ratzfatz geht.
Wäre auch kein Problem für mich mir ein Sahnestück von Mac zuzulegen. Das heisst aber dann, dass ich erneut alles erlernen muß.
 

Fowel

Member
https://www.youtube.com/results?search_query=vmware+workstation+10

Also so ne virtuelle Maschine ist wirklich kein Hexenwerk!
Du benötigst nur nen einigermaßen leistungsstarken PC, sonst kotzt dir die Maschine nach paar Minuten (sehr Ressourcen fressend)
Einmal installiert + konfiguriert, bist du nicht mehr angreifbar (nichtmal, wenn dir das BKA höchstpersönlich ne Trojaner auf deinem System installiert), da das System einfach komplett abgekapselt von deinem anderen Kram läuft!

Diese virtuelle Maschine dann noch schön in einem Truecrypt Container und Firewall absichern und du bist Mr. Nobody.
 

Ghost

Active Member
Einmal installiert + konfiguriert, bist du nicht mehr angreifbar (nichtmal, wenn dir das BKA höchstpersönlich ne Trojaner auf deinem System installiert), da das System einfach komplett abgekapselt von deinem anderen Kram läuft!

Wie soll die Konfiguration der virtuellen Maschine sein?
Wäre super wenn du eine Anleitung posten könntest.
VM scheint sehr interessant zu sein, was die Sicherheit betrifft.
 
Top