连接到恶意VPN

Question 1

假设你正在连接到一个积极敌对的网络，比如黑客会议期间的酒店 WLAN。你的所有流量都将被监控，甚至可能被拦截。

确保你已更新内核和网络补丁
将防火墙设置为拒绝所有入站
假设所有不受 SSL、SSH 或 DNS-SEC 等不可否认技术约束的网络连接都将受到中间人攻击，甚至其中一些将会受到攻击。
不要相信给你的 DNS 服务器，它们更有可能受到攻击。
警惕隐形网络代理（DNS、HTTP、IRC，随便什么都可以）
你在 VPN 服务器上使用的任何凭据都将被捕获
连接之前，禁用所有进行后台轮询的应用程序，例如电子邮件、即时通讯和社交网络客户端。

要牢记的关键一点是 VPN 只是打开网络连接（或者应该打开），而不是恶意软件代码的渠道。

当我参加教授网络分析的技术会议时，我会假设以上所有情况。在那些情况下，这更像白帽（通常），但这仍然是一种很好的做法。

Answer

假设你正在连接到一个积极敌对的网络，比如黑客会议期间的酒店 WLAN。你的所有流量都将被监控，甚至可能被拦截。

确保你已更新内核和网络补丁
将防火墙设置为拒绝所有入站
假设所有不受 SSL、SSH 或 DNS-SEC 等不可否认技术约束的网络连接都将受到中间人攻击，甚至其中一些将会受到攻击。
不要相信给你的 DNS 服务器，它们更有可能受到攻击。
警惕隐形网络代理（DNS、HTTP、IRC，随便什么都可以）
你在 VPN 服务器上使用的任何凭据都将被捕获
连接之前，禁用所有进行后台轮询的应用程序，例如电子邮件、即时通讯和社交网络客户端。

要牢记的关键一点是 VPN 只是打开网络连接（或者应该打开），而不是恶意软件代码的渠道。

当我参加教授网络分析的技术会议时，我会假设以上所有情况。在那些情况下，这更像白帽（通常），但这仍然是一种很好的做法。

Question 2

如果 VPN 服务器本身具有敌意，请确保您可以覆盖它提供的任何路由指令。多个客户端/服务器对强制通过 VPN 路由所有流量，以帮助防止不安全的网络上意外泄露数据，这使其处于嗅探所有流量的最佳位置。

确保您的受信任 SSL 证书列表是最新的，尤其是在今年早些时候 Comodo 经销商被攻陷之后。据我所知，一些浏览器对相关证书（如 mail.google.com）进行了硬编码撤销，因此即使 VPN 阻止访问 CRL，如果您使用的是最新版本，您的浏览器也可能会拒绝这些证书。否则，您可能会被 MITM 攻击所困扰，该攻击会使用看似有效的证书欺骗这些网站。

另外，不要通过此 VPN 以明文形式发送任何您想向攻击者保密的信息，因为攻击者可能会阅读您通过 VPN 发送的所有内容。这包括会话 cookie、明文电子邮件和网站密码等。在连接之前，请检查是否已禁用任何自动连接（例如 pop/imap 电子邮件客户端）。

在连接之前和之后记录一些 SSL 证书的指纹，以查看它们是否以某种方式更改了 SSL 连接。如果您使用 ssh，它突然警告您主机密钥指纹已更改，请不要继续连接。在您的主机文件中设置几个站点，以检查连接上 dig/nslookup 的结果是否匹配，以测试是否存在 DNS 中毒/代理将您重定向到不良站点。

Answer

如果 VPN 服务器本身具有敌意，请确保您可以覆盖它提供的任何路由指令。多个客户端/服务器对强制通过 VPN 路由所有流量，以帮助防止不安全的网络上意外泄露数据，这使其处于嗅探所有流量的最佳位置。

确保您的受信任 SSL 证书列表是最新的，尤其是在今年早些时候 Comodo 经销商被攻陷之后。据我所知，一些浏览器对相关证书（如 mail.google.com）进行了硬编码撤销，因此即使 VPN 阻止访问 CRL，如果您使用的是最新版本，您的浏览器也可能会拒绝这些证书。否则，您可能会被 MITM 攻击所困扰，该攻击会使用看似有效的证书欺骗这些网站。

另外，不要通过此 VPN 以明文形式发送任何您想向攻击者保密的信息，因为攻击者可能会阅读您通过 VPN 发送的所有内容。这包括会话 cookie、明文电子邮件和网站密码等。在连接之前，请检查是否已禁用任何自动连接（例如 pop/imap 电子邮件客户端）。

在连接之前和之后记录一些 SSL 证书的指纹，以查看它们是否以某种方式更改了 SSL 连接。如果您使用 ssh，它突然警告您主机密钥指纹已更改，请不要继续连接。在您的主机文件中设置几个站点，以检查连接上 dig/nslookup 的结果是否匹配，以测试是否存在 DNS 中毒/代理将您重定向到不良站点。

连接到恶意VPN

答案1

答案2

相关内容