连接到恶意VPN

连接到恶意VPN

我正在连接到已知是恶意的 VPN。网络上的许多机器(包括 VPN 服务器本身)都受到了攻击。我应该采取哪些预防措施来保护自己?

答案1

假设你正在连接到一个积极敌对的网络,比如黑客会议期间的酒店 WLAN。你的所有流量都将被监控,甚至可能被拦截。

  • 确保你已更新内核和网络补丁
  • 将防火墙设置为拒绝所有入站
  • 假设所有不受 SSL、SSH 或 DNS-SEC 等不可否认技术约束的网络连接都将受到中间人攻击,甚至其中一些将会受到攻击。
  • 不要相信给你的 DNS 服务器,它们更有可能受到攻击。
  • 警惕隐形网络代理(DNS、HTTP、IRC,随便什么都可以)
  • 你在 VPN 服务器上使用的任何凭据都将被捕获
  • 连接之前,禁用所有进行后台轮询的应用程序,例如电子邮件、即时通讯和社交网络客户端。

要牢记的关键一点是 VPN 只是打开网络连接(或者应该打开),而不是恶意软件代码的渠道。

当我参加教授网络分析的技术会议时,我会假设以上所有情况。在那些情况下,这更像白帽(通常),但这仍然是一种很好的做法。

答案2

如果 VPN 服务器本身具有敌意,请确保您可以覆盖它提供的任何路由指令。多个客户端/服务器对强制通过 VPN 路由所有流量,以帮助防止不安全的网络上意外泄露数据,这使其处于嗅探所有流量的最佳位置。

确保您的受信任 SSL 证书列表是最新的,尤其是在今年早些时候 Comodo 经销商被攻陷之后。据我所知,一些浏览器对相关证书(如 mail.google.com)进行了硬编码撤销,因此即使 VPN 阻止访问 CRL,如果您使用的是最新版本,您的浏览器也可能会拒绝这些证书。否则,您可能会被 MITM 攻击所困扰,该攻击会使用看似有效的证书欺骗这些网站。

另外,不要通过此 VPN 以明文形式发送任何您想向攻击者保密的信息,因为攻击者可能会阅读您通过 VPN 发送的所有内容。这包括会话 cookie、明文电子邮件和网站密码等。在连接之前,请检查是否已禁用任何自动连接(例如 pop/imap 电子邮件客户端)。

在连接之前和之后记录一些 SSL 证书的指纹,以查看它们是否以某种方式更改了 SSL 连接。如果您使用 ssh,它突然警告您主机密钥指纹已更改,请不要继续连接。在您的主机文件中设置几个站点,以检查连接上 dig/nslookup 的结果是否匹配,以测试是否存在 DNS 中毒/代理将您重定向到不良站点。

相关内容