VPN的使用越來越廣泛了,有些人用它來繞過審查制度,有些人使用它來翻墻訪問國家禁止的網站,還有一些人用它來作為隱私保護層。
我們在工作中使用VPN通常有兩個原因:訪問漏洞利用工具包或匿名測試音頻和終端安全產品。大多數漏洞利用工具包都是通過過濾受害者的IP地址進行攻擊。而且曾經音頻和終端安全產品在實驗室環境中測試的結果和在家里或企業用戶機器上的結果不同。因此VPN在日常工作中非常重要。
這個月發生了一件事。我們像往常一樣使用商業VPN,像往常一樣我們使用Fiddler測試VirtualBox客戶機的惡意流量,在配置里手動打開了“允許遠程計算機連接”,然后實驗室的機器也打開了防火墻和NAT。代理和VPN開了一晚。
然后在第二天早上,當晚所有客戶機全都關閉的情況下,我們在Fiddler的歷史中發現了一些奇怪的流量。我們猜測是不是主機上運行了一個惡意軟件或者有人通過網絡訪問了Fiddler代理。于是我們快速檢查了一番發現是從VPN網絡接口通過的流量。通過對VPN IP的Nmap掃描再次證明了我們的懷疑。實驗室的機器可以通過VPN的IP連接到整個互聯網訪問到所有的服務(Apache、FTP、Fiddler,RDP)。其中,Fiddler代理端口被作為了一個開放的代理,直接用于點擊欺詐等惡意目的。不過還好至少SMB 445端口被防火墻過濾了。
雖然Windows防火墻一直開著,VPN接口設置為公共模式,私人網絡設置為私人模式,但是由于這些服務是手動配置的所以可以直接訪問服務瀏覽隱私文檔。
我們認為大多數的VPN公司都沒有這個問題。一般VPN提供商所有的公共IP要比一些VPN用戶所擁有的還要少,這意味著他們在某些地方使用了NAT。使用NAT就不會發生這種情況。
京公網安備 11010502049343號