WireGuard:这种自动 IP 分配有什么问题

信息安全 虚拟专用网 SSH 审计 风险分析 重击
2021-08-27 20:53:35

WireGuard是基于现代密码学的极其简单和快速的内核空间 VPN。我想在生产中使用它,并且需要为新的同行自动分配 IP。该项目为执行此操作的服务器和客户端提供了两个简短的脚本。但是它指出

不要在生产中使用这些脚本。它们只是展示了该wg(8)工具在命令行中的易用性,但您绝不应该实际尝试使用这些工具。他们非常不安全并且破坏了 WireGuard 的目的。远离!

脚本是:
服务器

#!/bin/bash
# SPDX-License-Identifier: GPL-2.0
#
# Copyright (C) 2015-2018 Jason A. Donenfeld <Jason@zx2c4.com>. All Rights Reserved.

if [[ -z $NCAT_REMOTE_ADDR ]]; then
    ip link del dev wg0 2>/dev/null
    set -e
    ip link add dev wg0 type wireguard
    ip address add 192.168.4.1/24 dev wg0
    wg set wg0 private-key <(wg genkey) listen-port 12912
    ip link set up dev wg0
    exec ncat -e "$(readlink -f "$0")" -k -l -p 42912 -v
fi
read -r public_key
[[ $(wg show wg0 peers | wc -l) -ge 253 ]] && wg set wg0 peer $(wg show wg0 latest-handshakes | sort -k 2 -b -n | head -n 1 | cut -f 1) remove
next_ip=$(all="$(wg show wg0 allowed-ips)"; for ((i=2; i<=254; i++)); do ip="192.168.4.$i"; [[ $all != *$ip/32* ]] && echo $ip && break; done)
wg set wg0 peer "$public_key" allowed-ips $next_ip/32 2>/dev/null && echo "OK:$(wg show wg0 private-key | wg pubkey):$(wg show wg0 listen-port):$next_ip" || echo ERROR

客户

#!/bin/bash
# SPDX-License-Identifier: GPL-2.0
#
# Copyright (C) 2015-2018 Jason A. Donenfeld <Jason@zx2c4.com>. All Rights Reserved.

set -e
[[ $UID == 0 ]] || { echo "You must be root to run this."; exit 1; }
umask 077
trap 'rm -f /tmp/wg_private_key' EXIT INT TERM
exec 3<>/dev/tcp/demo.wireguard.com/42912
wg genkey | tee /tmp/wg_private_key | wg pubkey >&3
IFS=: read -r status server_pubkey server_port internal_ip <&3
[[ $status == OK ]]
ip link del dev wg0 2>/dev/null || true
ip link add dev wg0 type wireguard
wg set wg0 private-key /tmp/wg_private_key peer "$server_pubkey" allowed-ips 0.0.0.0/0 endpoint "demo.wireguard.com:$server_port" persistent-keepalive 25
ip address add "$internal_ip"/24 dev wg0
ip link set up dev wg0
if [ "$1" == "default-route" ]; then
    host="$(wg show wg0 endpoints | sed -n 's/.*\t\(.*\):.*/\1/p')"
    ip route add $(ip route get $host | sed '/ via [0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}/{s/^\(.* via [0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\).*/\1/}' | head -n 1) 2>/dev/null || true
    ip route add 0/1 dev wg0
    ip route add 128/1 dev wg0
fi

问题:

  1. 这些脚本有什么问题?最坏的情况是什么?
  2. 有没有办法解决这些问题?
  3. 有人可以写一个简短的评论这些脚本的每一行是做什么的吗?

更新:WireGuard 的作者表示“问题在于它使用未经身份验证的 TCP”。那么最坏的情况是什么,如何解决?可以在 SSH 隧道内提供这个 TCP 套接字吗?

2个回答

问题归结为您的第三点。如果不详细阅读它,您将不知道它的作用,并且它包含很多不干净的代码。

它可能“正常工作”,但如果出现任何故障,则不会实施错误处理。此外,它会在不知道它们的输出格式是否固定的情况下截取一些 shell 实用程序。也许您升级了您的发行版,获得了其中一种工具的新版本,然后脚本突然失败了。

最坏的情况是什么

一些输出解析失败,下一个命令得到乱码输出并删除/home不是作为分析脚本的实际结果,而是在没有适当错误处理的情况下使用 shell 脚本可能发生的事情,并且过去曾做过(即rm -r $uninitialized/*)。

最可能发生的错误是让您的网络中断,因为您必须要求对脚本进行解释(这很好。在完全理解它的风险之前,我需要研究它相当长的时间)这可能会迫使您重新启动以使系统再次进入一致状态。

这本身并不是不安全的,但它是草率的并且可能是不安全的。对于以 root 身份运行并设置重要内容的脚本,应该对可能失败的每件事进行仔细的错误处理。

一般的设计是,在被证明是安全的之前,一切都有不安全的风险。您可以尝试验证脚本是否安全,但这不值得,因为有几种反模式(即解析输出,但不能保证(尚)稳定,使用正则表达式处理 IP,一行时不进行清理失败)这使得以更安全的方式重写它是明智的。

例如,人们可能会依赖 VPN 来防止通过 Internet 发送未加密的公司机密数据。当 VPN 脚本(静默)没有成功设置 VPN 时,数据可能会以不安全的方式发送。

有没有办法解决这些问题?

在每个命令后仔细处理错误来重写它。可能使用比 bash 更适合的语言,并使用 API 读取数据,而不是屏幕抓取其他程序。

最坏的情况是您直接连接到攻击者并从他那里读取未经处理的输入。

该脚本将您的 shell 直接连接到仅从 DNS 学习的外部主机,可能在世界的一半,这可能不是您所期望的,因为选择性 MITM 会很好地工作。

其它你可能感兴趣的问题
上一篇每次请求后 URL 更改时可以使用 sqlmap 吗? 下一篇现代 Linux GPU 驱动程序安全性