Neue Informationen zum WebRTC IP Leak

[PP Frank]

Ihr solltet die Firewall-Optionen ab und zu mal testen. Wie es aussieht haut euch irgendeine Anwendung die Firewall von Windows teilweise durcheinander. Sobald man die zurücksetzt funktioniert wieder alles einwandfrei. ich hatte das beim teamviewer Support bei einigen leuten vorher schon mal. Dem Nutzer fällt das aber teilweise nicht auf, da die DNS-Leakprotection auf Dauerhaft gestellt ist und er ohne VPN durch unsere DNS-Server eh keine Seite anwählen kann, da die ohne VPN nicht auflösen

 

[Alex]

Jetzt bin ich auch verwirrt.

Bin jetzt mit OpenVPNManager 1.6.x final und einem PP-Server verbunden.
Win7 64-Bit in VM, Firewall und DNS-Leak-Schutz bei Programmstart aktivieren angehakt.
Als normaler User am System angemeldet.
Mehr habe ich nicht gemacht!
Im FF ist media.peerconnection.enabled auf false gesetzt, aber FF noch nicht neu gestartet.

ping -S 192.168.178.10 8.8.8.8

Ping wird ausgeführt für 8.8.8.8 von 192.168.178.10 mit 32 Bytes Daten:
Antwort von 8.8.8.8: Bytes=32 Zeit=221ms TTL=58
Antwort von 8.8.8.8: Bytes=32 Zeit=255ms TTL=58
Antwort von 8.8.8.8: Bytes=32 Zeit=195ms TTL=58
Antwort von 8.8.8.8: Bytes=32 Zeit=219ms TTL=58

Ping-Statistik für 8.8.8.8:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 195ms, Maximum = 255ms, Mittelwert = 222ms

 

[PP Frank]

Der Ping Test und WebRTC sind zwei paar Schuhe. Der Ping geht dennoch, auch wenn WebRTC aus ist. Dazu auch im Blog der Satz. Mit dem Ping testest du lediglich obs grundsätzlich ist.
Auch bei dir der Tip: Gehe mal ins Netzwerkcenter von Windows, setze die Windows-Firewall zurück auf Standard, Manager neu Starten, Verbinden und dann nochmal den Ping setzen

 

[PP Stephan]

Dass der Ping-Test geht, heisst nicht unbedingt, dass die IP geleaked wird. Nur dann, wenn wirklich nicht über das VPN geroutet wird. Der Test ist wie folgt gedacht:

1: Ping OHNE VPN nach 8.8.8.8 und Latenzzeit merken (Zeit=30ms o.ä.)
2. Ping MIT einer VPN-Verbindung zu einem weit entfernten Server. Brisbane eignet sich gut. Die Latenzzeit sollte nun deutlich höher sein, weil die Pakete erst von Euch nach Brisbane und dann zurück nach Google gehen.
3. Jetzt ping -S 8.8.8.8 während die VPN-Verbindung noch besteht. Wenn die Latenz so bleibt wie bei 2) wird immer noch über VPN geroutet. Ist aber die Latenzzeit wieder so gering wie bei 1), wird das VPN umgangen.

 

[Alex]

@PP Stephan
Habe ich jetzt ausprobiert und *Schock*, denn es ist bei mir wie bei dir unter Punkt 3 beschrieben - er umgeht den VPN!
Hilfe!!

Also von vorn:
Ohne VPN ping 8.8.8.8 bringt 23ms
Mit VPN (Brisbane) ping 8.8.8 bringt 416ms
Mit VPN (Brisbane) ping -S 192.168.178.10 8.8.8.8 bringt wiederrum 23ms

 

[Alex]

Was zeigt denn der VPN Test von PP? Also auf deren Checkseite?

Da scheint alles ok zu sein!
Es wird mir der VPN angezeigt über den ich verbunden bin.
Die Metadaten sind alle -empty-.

Bei nem ping 8.8.8.8 routet er dich übern VPN, in dem Fall müsstest du dir aber eigentlich ein ping -S VPN-IP 8.8.8.8 denken, da der Ping über'n VPN Adapter raus geht, der ja irgendne 10er IP hat.

Ah, ok, dann ist also alles ok?
Kann ich das mit der VPN-IP irgendwie testen (wie komme ich an die 10'er IP)?

 

[JackCarver]

Hi, ich kann leider nur von OSX reden, deswegen hab ich meine Antwort wieder gelöscht. Wenn es unter Win wirklich so ist, dass das geht, dann ist das eben Win, unter OSX geht das nicht mit Quell und Ziel-IPs aus unterschiedlichen Netzen. Du hast ja einmal dein LAN, das du ohne VPN nutzt und dann das VPN, beide funktionieren in unterschiedlichen privaten Netzen, zb 192.168.2.0/24 oder 10.8.8.0/24.

Es sollte eigentlich nicht möglich sein, mit ner IP aus dem 192.168.2.0/24er Netz durch den VPN Tunnel den 8.8.8.8 anzupingen, da es wie gesagt unterschiedliche Netze sind. Das VPN funktioniert nicht im192er Netz. Von daher bringt der Test eigentlich nix.

Wenn ich zb unter OSX (verbunden mit VPN Brisbane) ein:

ping -S 192.168.2.13 8.8.8.8

mache kommt ein No Route to Host, was auch so sein sollte. Mach ich dagegen ein:

ping -S VPN-IP 8.8.8.8 dann geht das aber natürlich mit denselben Zeiten wie ein ping 8.8.8.8 ohne Quell-IP.

Die 10er IP sollte Win mit einem ipconfig unter der Konsole anzeigen.

Anders ausgedrückt, wenn unter Win ein:

ping -S 192.168.178.10 8.8.8.8

geht, dann aber nicht über den VPN Server, sondern direkt über deinen Router, da du den VPN Server mit ner Quell-IP aus deinem LAN nicht erreichen kannst, sondern nur deinen Router, der auch ne IP aus deinem LAN besitzt.

 

[PP Stephan]

@PP Stephan
Habe ich jetzt ausprobiert und *Schock*, denn es ist bei mir wie bei dir unter Punkt 3 beschrieben - er umgeht den VPN!
Hilfe!!

Also von vorn:
Ohne VPN ping 8.8.8.8 bringt 23ms
Mit VPN (Brisbane) ping 8.8.8 bringt 416ms
Mit VPN (Brisbane) ping -S 192.168.178.10 8.8.8.8 bringt wiederrum 23ms

Kannst Du uns mal deine Routing-Table per mail schicken (wenn eine VPN Verbindung aufgebaut ist)? In der Konsole

route print >routing.txt

Dann liegt im aktuellen Verzeichnis die Datei routing.txt, die Du an eine E-Mail an PP support schicken kannst.

 

[JackCarver]

@Stephan:

Wenn meine LAN IP zb die 192.168.2.13 ist, kann dann unter Win ein:

ping -S 192.168.2.13 8.8.8.8

überhaupt jemals durch den Tunnel gehen? Da müsste ja die 192er Quell-IP ins 10er VPN Netz umgebogen werden. Wenn dann sollte dieser ping in jedem Fall am VPN vorbei gehen oder eben gar nicht funktionieren wie unter OSX.

 

[Dr_Iwan_Kakalakow]

Ich (Win7/64Bit) habe im Firefox-about:config die Lücke erst einmal geschlossen und warte auf das neue BETA-Update von PP. So weit, so gut.

Aber mal ganz allgemein zu dieser Webrtc-Lücke und dem immer wieder damit verbundenen Stun-Server:
Ich verstehe den genauen Ablauf noch nicht.
Angenommen ich surfe unter PP-Amsterdam und Tunnel-Rotterdam auf die PP-Webseite https://secure-mail.biz/ und schaue in mein Mailfach.
Wo sitzt denn nun dieser verräterische Stunserver und teilt meine wahre Verbindungsroute mit?
Sitzt der bei meinem Provider, bei PP (stellvertretend für irgendeine andere Webseite) oder nur im Firefox?
Kann jeder Webseitenbetreiber, wenn er mag (und wie geht das?) nun meine wahre Verbindungsroute sehen?

Vielleicht kann mir jemand das Grundprinzip dieser Lücke verständlich beschreiben.

 

[PP Stephan]

Ich (Win7/64Bit) habe im Firefox-about:config die Lücke erst einmal geschlossen und warte auf das neue BETA-Update von PP. So weit, so gut.
Angenommen ich surfe unter PP-Amsterdam und Tunnel-Rotterdam auf die PP-Webseite https://secure-mail.biz/ und schaue in mein Mailfach.
Wo sitzt denn nun dieser verräterische Stunserver und teilt meine wahre Verbindungsroute mit?

Das ganze wird ja nur dann zum Problem, wenn Du unsichere Seiten besuchst. Nämlich solche, die boshaft WebRTC benutzen um über irgendeinen STUN-Server (egal wo der steht) die oeffentliche IP rauszufinden. Solange Du keine unsicheren (oder kompromittierte) Webseiten besuchst, besteht auch kein Risiko.

Allgemein noch was anderes:

Daniel Roesler hat seinen Proof-of-Concept-Code aktualisiert, so dass dies nun in Chrome auch mit installiertem WebRTC-Block funktioniert. Eine kurze Suche nach ALternativen ergab, dass µBlock (erhältlich hier: https://chrome.google.com/webstore/detail/µblock/cjpalhdlnbpafiamejdnhcphjbkeiagm/related) momentan immer noch dagegen funktioniert.

 

[Dr_Iwan_Kakalakow]

Danke Stephan !
Kurze Zusammenfassung:
Wenn ich Firefox nicht umstelle und der Webseitenbetreiber diese Lücke aktiviert hat, dann sieht man die Verbindungroute.
Ein Nachfrage noch:
Und mein Provider?

 

[Fowel]

lasst euren Kram doch einfach komplett über ne virtuelle Maschine laufen und gut...
Da kann euch keiner was!

 

[JackCarver]

Kurze Zusammenfassung:
Wenn ich Firefox nicht umstelle und der Webseitenbetreiber diese Lücke aktiviert hat, dann sieht man die Verbindungroute.
Ein Nachfrage noch:
Und mein Provider?

​Sofern du den PP Manager verwendest und die Firewall hochgefahren ist, sollte das kein Problem sein. Dein Provider kennt sowieso deine reale öffentliche IP, dazu braucht er kein WebRTC.
Er erkennt aber nicht wohin du nach dem VPN Server surfst und das ist ja das wichtige an der Sache.

 

[theoth]

Das mit dem ping geht bei Linux auch. heißt hier allerdings ping -I eth0 (z.B.). dann geht das routing so, als ob der ping von eth0 aus geht und damit am vpn vorbei - voll normal also.
Diese STUN-Geschichte kenne ich nur von VOIP - damit der VOIP-Adapter hinter einer Firewall der Gegenstelle sagen kann, wie er erreichbar ist ==> mal danach googeln
Der STUN-Server ist ein spezieller server, der z.B. bei meinem VOIP-Adapter auf port 10000 hört und in seiner Antwort die externe IP mitliefert. Den kann jeder aufsetzen, der es für sinnvoll hält. In diesem Fall ist es wohl ein Server von Mozilla, der die STUN-requests beantwortet.
Wenn also ein Java-script solch einen STUN request über das richtige Interface absetzt, kriegt es die exterme IP als Antwort präsentiert.
Ein legitimer Service wird das vermutlich nicht mißbrauchen, aber theoretisch kann jede Seite so ein Java-script einbauen und das Ergebnis (die externe IP) verwenden, wie sie will.

 

[Dr_Iwan_Kakalakow]

@Fowel,
ja, wollte ich schon mal machen, aber ist mir als Laie zu kompliziert. Das geht in die Hose.
@Jack,
danke Dir !

 

[PP Frank]

@Dr

Du meinst wegen "auf Standard zurücksetzen"?

 

[Dr_Iwan_Kakalakow]

@Dr
Du meinst wegen "auf Standard zurücksetzen"?

Ich weiss jetzt nicht genau was Du meinst. Meinst Du das mit dem Standard auf ein virtuelles Laufwerk bezogen?

Zum virtuellen Laufwerk:
Ich lese darüber sehr viel und das klingt auch alles top.
Ich habe das auch mal versucht, aber dann sind nicht nachvollziehbare Fehler aufgetaucht und ich habe erneut festgestellt, dass solche speziellen PC-Dinge mir nicht liegen.
Ich sträube mich innerlich viel zu sehr dagegen. Das liegt einfach daran, dass ich für neue Sachen nicht mehr so zugänglich bin. Vor allem auch, weil PC-Dinge sowieso nicht meine Stärken sind. Mein Interesse und mein Engagement liegt woanders. PC nur dann, wenn es ratzfatz geht.
Wäre auch kein Problem für mich mir ein Sahnestück von Mac zuzulegen. Das heisst aber dann, dass ich erneut alles erlernen muß.

 

[Fowel]

https://www.youtube.com/results?search_query=vmware+workstation+10

Also so ne virtuelle Maschine ist wirklich kein Hexenwerk!
Du benötigst nur nen einigermaßen leistungsstarken PC, sonst kotzt dir die Maschine nach paar Minuten (sehr Ressourcen fressend)
Einmal installiert + konfiguriert, bist du nicht mehr angreifbar (nichtmal, wenn dir das BKA höchstpersönlich ne Trojaner auf deinem System installiert), da das System einfach komplett abgekapselt von deinem anderen Kram läuft!

Diese virtuelle Maschine dann noch schön in einem Truecrypt Container und Firewall absichern und du bist Mr. Nobody.

 

[Gelöschtes Mitglied 468]

Einmal installiert + konfiguriert, bist du nicht mehr angreifbar (nichtmal, wenn dir das BKA höchstpersönlich ne Trojaner auf deinem System installiert), da das System einfach komplett abgekapselt von deinem anderen Kram läuft!

Wie soll die Konfiguration der virtuellen Maschine sein?
Wäre super wenn du eine Anleitung posten könntest.
VM scheint sehr interessant zu sein, was die Sicherheit betrifft.