Hacker News 의견

요약:

• 이 공격은 2016년 Samy Kamkar의 "Poison Tap" 공격과 유사함. USB/Thunderbolt 네트워크 어댑터를 사용하여 더 구체적인 두 개의 경로를 광고하고 시스템의 다른 인터페이스보다 우선적으로 모든 트래픽을 가로챌 수 있음.
• 헤드라인에서는 모든 VPN 클라이언트에 영향을 준다고 주장하지만, 많은 클라이언트가 방화벽 규칙을 설정하여 물리적 인터페이스와의 트래픽을 차단함. 주요 개인/상용 및 기업 VPN 솔루션 중 이 기능이 기본적으로 활성화된 비율을 문서화하는 것이 생산적이었을 것임.
• DHCP 옵션 121을 사용하면 DHCP 서버가 특정 CIDR 범위에 대한 라우팅 규칙을 설정할 수 있음. 이는 더 긴 접두사로 인해 기본 0.0.0.0/0 규칙보다 우선 순위가 높아짐.
• 이 "공격"은 DHCP 옵션 121을 영리하게 사용한 것임. 제대로 격리하려면 적절한 정책 기반 라우팅(예: 리눅스 네트워크 네임스페이스, FreeBSD vnet, OpenBSD rdomains)을 사용해야 함.
• 리눅스에서 VPN 인터페이스를 VRF에 배치하여 이를 완화할 수 있음. systemd-networkd는 기본적으로 이를 지원함.
• 공격자가 LAN의 DHCP 서버가 될 수 있다는 위협 모델은 가능성은 낮지만 불가능하지는 않음.
• 가상 머신 기반 아키텍처도 이 문제를 해결할 수 있음. QubesOS는 유사한 설정을 매우 쉽게 구성할 수 있게 해줌.
• 네트워크 네임스페이스에 대한 흥미로운 대안은 커널 네트워킹을 완전히 우회하고 사용자 공간 네트워크 스택을 사용하는 것임.
• IPv4 전용 VPN 서비스를 사용하면서 시스템에서 IPv6를 활성화하는 것이 더 걱정됨. 심각한 문제가 발생할 수 있음.