IP Leak via Flash - wie verhindern?

[TheOnly1]

Ich habe Chrome so konfiguriert, dass der gesamte Traffic über einen Proxy von nVPN läuft.
Das klappt soweit sehr gut, aber die reale IP kann via Java und via Flash natürlich trotzdem ausgelesen werden.
Ein ja bekanntes Problem, auch wenn sich wohl viele User dessen nach wie vor nicht wirklich bewusst sind.

Java zu verhindern ist nicht so schwierig. Den Mist braucht man eh nie und Chrome fragt sowieso nach, ob eine Seite Java verwenden darf.
Flash ist da schon etwas anderes.
Klar könnte man auch das deaktivieren oder auf "nachfragen" stellen, aber das nervt trotzdem, weil etliche Seiten Flash einsetzen.

So...ich habe gelsen, dass man den IP Leak über Flash verhindern kann, indem man Flash die Socket-Verbindungen verbietet, indem man in der mms.cfg von Flash "DisableSockets = 1" hinzufügt.
Nur leider hat das keinerlei Effekt.

Mein Verdacht ist, dass Chrome sein "eigenes" Flash verwendet und das diese Config-File darauf keinen Einfluss hat.

Nun ist aber die Frage:
Wie verhindere ich den Flash IP Leak unter Chrome, ohne Flash gänzlich abzuschalten?
Jemand eine Idee dazu?

 

[Kugelfisch]

Du kannst versuchen, einen Socks-Wrapper wie z.B. Proxifier oder FreeCap einzusetzen, um zumindest TCP-Verbindungen über einen SOCKS-Proxy zu zwingen. UDP-Pakete bleiben dabei allerdings ebenso unberücksichtigt wie Pakete, die weder UDP noch TCP nutzen; und mindestens UDP-Pakete kann auch der Flash-Player z.B. in Form von RTMFP erzeugen. Das lässt sich auch nicht ohne Weiteres über die Konfiguration verhindern, daher lassen sich Leaks so nicht zuverlässig vermeiden.

Die einzige Möglichkeit, Flash (und ggf. vorhandene weitere Plugins) anonymisiert nutzen zu können, ist, jegliche ausgehenden Verbindungen transparent zu anonymisieren. Das klassische Beispiel ist ein VPN, welches das Standard-Gateway ersetzt, möglich wäre es aber z.B. unter Linux auch über die Unterstützung transparenter Proxies in Netfilter. Möchtest du das auf deinem System nicht, weil andere Anwendungen es nicht benutzen sollen, kannst du es auch in einer VM einrichten.

Wenn du bloss einen Proxy im Browser einträgst, musst du aus Sicherheitsgründen übrigens sämtliche Browser-Plugins deaktivieren. Leaks lassen sich auch über andere Plugins wie z.B. PDF-/Office-Reader oder Media-Player-Plugins verursachen.

 

[TheOnly1]

Ich hatte das VPN eigentlich direkt im Router konfiguriert.
Mich hat da nur gestört, dass das halt zB bei Onlinespielen mitunter gehörig auf den Ping geschlagen hat.
Dann hatte ich OpenVPN als automatisch startenden Dienst in Windows konfiguriert, was aber letztlich auch dazu geführt hat das ich das ständig am Ein und Aus schalten war.

Im Prinzip will ich ja nur meinen Browser-Traffic anonym haben, von daher dachte ich das die Browser-Proxy-Lösung eigentlich eine ganz gute Idee sei.
Mal gucken...vielleicht gehe ich dann doch wieder auf OpenVPN zurück.

--- NACHTRAG ---
Ich habe etwas rausgefunden und vielleicht interessiert das ja den ein oder anderen.
Man kann bei Chrome (etwas versteckt) einstellen, ob das Chrome-interne Flash-Plugin verwendet werden soll, oder das ganz normale.
Wählt man das normale, dann funktioniert auch die Einstellung in der mms.cfg.

So gehts:
1. chrome://plugins aufrufen
2. Rechts oben auf +Details klicken
3. Unter Adobe Flash-Player das Flushplugin deaktivieren, welches im Chrome-Order selbst liegt.

C:\Program Files (x86)\Google\Chrome\Application\31.0.1650.63\PepperFlash\pepflashplayer.dll
Typ: PPAPI (Out-of-Process)

Das andere Flashplugin aktivieren, oder aktiviert lassen.

Damit funktioniert zumindest der direkte Leak der IP über Flash dann tatsächlich nicht mehr (getestet).

 

[LemonDrops]

@TheOnly1: Plugins auf click und play zu stellen ist gar kein so großer Aufwand, da du eine Whitelist führen kannst und sich somit bei seiten denen du vertraust nichts ändert. Das hat auch de Vorteil dass verstecke/eingeschläuste Plugins nicht aktiviert werden.

 

[Kugelfisch]

Man kann bei Chrome (etwas versteckt) einstellen, ob das Chrome-interne Flash-Plugin verwendet werden soll, oder das ganz normale.
Wählt man das normale, dann funktioniert auch die Einstellung in der mms.cfg.

Das ist möglich, hat jedoch zwei entscheidende Nachteile - einerseits benutzt du dadurch nicht mehr das von Chrome automatisch mit Updates versorgte Flash-Plugin, so dass du selbst dafür sorgen musst, sicherheitsrelevante Updates zeitnah einzuspielen. In deinem Fall ist z.B. Systemweit noch das veraltete Flash-Plugin 11,9,900,117 installiert, während das interne Chrome-Plugin in der aktuellen Version 11,9,900,170 vorliegt. Das führt bei Nachlässigkeit beim Installieren von Updates sehr leicht zu kritischen Schwachstellen.
Andererseits werden durch die erwähnte Einstellung IP-Leaks nicht zuverlässig verhindert, weil Flash neben direkten Socket-Verbindungen auch andere Möglichkeiten bietet, ausgehende Verbindungen am eingetragenen Proxy vorbei aufzubauen. Der von dir verwendete Test nutzt sie bloss nicht, weil in der Standardkonfiguration der Leak über XMLSockets der einfachste ist.

 

[TheOnly1]

Verdammt Kugelfisch, du bist hier einfach überqualifiziert.

 

[UltimaTOR]

Was du auch noch machen könntest, wäre - ähnlich wie von Kugelfisch empfohlen - innerhalb einer VM alle Verbindungen autom. durch das Tor Netzwerk zu zwingen. Dies erreichst du mittels des Tools Tortilla. Die potentielle Kompromittierung des Tor Netzwerkes lassen wir nun einmal dahingestellt. Ich habe das Tool nur kurz getestet, es soll aber ganz gut sein. Auch wenn du evtl. mehrmals die Seite neu aufbauen lassen musst - da die VM nur den "Tortilla Adapter" kennt, kann im Grunde auch keine Verbindung über deine normale NIC (Network Interface Card) laufen. Eine Anleitung für Tortilla findest du hier. Es ist halt noch die Betaversion.

Eine andere Möglichkeit wäre noch das Tor Browser Bundle - dort wird dies in der Regel sehr zuverlässig geblockt.