Buongiorno, in merito ai metodi disponibili su GNU/Linux per evitare possibili attacchi come quello in oggetto...
380° <[email protected]> writes: [...] > https://www.leviathansecurity.com/blog/tunnelvision --8<---------------cut here---------------start------------->8--- It is not feasible to fix the issue by simply removing support for the DHCP feature because this could break Internet connectivity in some legitimate cases. The strongest recommendation we have is for VPN providers to implement network namespaces on operating systems that support them, similar to the method described in WireGuard’s documentation [1]. Network namespaces are a Linux feature that can segment interfaces and routing tables away from the local network’s control --8<---------------cut here---------------end--------------->8--- Bingo! In alternativa al metodo documentato da wireguard (The New Namespace Solution) [1], che è un po' macchinoso, chi ha necessità di effettuare il routing di tutto il traffico generato dalle proprie applicazioni via VPN (wireguard o altra che sia) non deve far altro che eseguirle in un container (detto guest) LXC, magari creato/gestito via virt-manager [2]), opportunamente configurato [3] [4] [5]. Il risultato netto è una topologia di rete guest/host di tipo "Ordinary Containerization" [6] che è del tutto analoga a quella illustrata nel diagramma di rete in "The New Namespace Solution" [1] (vale con qualsiasi VPN), indicata da Leviathan security group come soluzione adeguata all'attacco da loro denunciato. Sbaglio? (mi pare di no). Happy hacking! 380° [1] https://www.wireguard.com/netns/#the-new-namespace-solution [2] https://virt-manager.org/ [3] per OpenVPN: https://wiki.archlinux.org/title/Linux_Containers/Using_VPNs#OpenVPN_in_client_mode [4] per wireguard: https://wiki.archlinux.org/title/Linux_Containers/Using_VPNs#WireGuard [5] la documentazione indicata vale per _tutti_ i container LXC, non solo per quelli su host con Arch Linux [6] https://www.wireguard.com/netns/#ordinary-containerization -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
signature.asc
Description: PGP signature
