Faculty of information technology


Download 1.67 Mb.
Pdf ko'rish
bet33/41
Sana17.06.2023
Hajmi1.67 Mb.
#1545014
1   ...   29   30   31   32   33   34   35   36   ...   41
Bog'liq
full thesis

Statistics
Various statistics about the system are collected and may be displayed on the Customer
Server’s web page. Based on the way they are collected, there are 2 types of statistics
(although web accesses them both in the same way – through PhpClientApi):
1. Statistics that can be read/inferred from the current state of the database (number
of online devices, number of network entries, uptime, etc.).
2. Statistics that are read from OpenVPN’s management console (throughput for each
device, global throughput).
A separate C++ application was created to handle all statistics-related queries. Based
on the parameters given, it prints relevant statistics in structured format. It uses TCP
connection to read data from OpenVPN’s management console (which is listening on a lo-
calhost interface). To access necessary data, “status 2” command is sent via the connection
and then the answer is read from the socket, parsed and printed.
5.4
Dispatch Server
Dispatch server is implemented as a sysmted service vpnportal-ds. It is a simple, small
application, consisting of a single loop, where it handles incoming requests. It uses sqlite3
database for storing data about Customer Servers and OpenSSL library for TLS communi-
cation.
5.5
Security measures
During the implementation, several new potential security vulnerabilities of the system were
discovered and had to be analyzed.
5.5.1
“Pretending to be a CS” attack
An attacker that would get access to a router A, which is in a group with router B, could,
in theory, craft a message that would look like the one that Customer Server sends when it
wants to change router’s configuration. The attacker would then send such a request to the
router A and make it change its LAN configuration or do anything else that the protocol
supports at the time. This attack is relatively easy to execute, it requires only:
∙ Knowledge of the protocol.
∙ Knowledge of the port where the routers are listening.
∙ Access to one of the routers that are grouped together.
To remove this vulnerability, a check of source IP address was added to handling an
incoming message on routers. Since the address of a CS is always known by the router (at
that stage), it is possible to drop any control message whose source address does not match
it.
36


Download 1.67 Mb.

Do'stlaringiz bilan baham:
1   ...   29   30   31   32   33   34   35   36   ...   41



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling