VPN: ¿Por qué mi computadora portátil NAT está siendo forzada con SSH por las IP externas cuando está en VPN?

1

Estoy usando una licencia comercial paga para un proveedor de VPN, que uso en dos cajas, un FreeBSD y un BackBox de Linux.

Cuando estoy conectado a este proxy, mi interfaz recibe una IP pública del proveedor de VPN.

El enrutador de mi casa no tiene puertos abiertos expuestos a Internet (he probado los 65 mil puertos con Nmap, provenientes de una IP diferente). Tampoco está configurado para realizar ningún reenvío de puertos, y no he habilitado DMZ.

Mirando mi /var/log/auth.log noté IPs del dominio público tratando de fuerza bruta mi SSH. Esto solo sucede cuando se conecta a la VPN.

¿Cómo es posible que las direcciones IP externas lleguen a mis cuadros de NAT? Mi única explicación es que están llegando a través de mi conexión VPN, pero si ese es el caso, ¿por qué estas IP no están en la misma subred que la de mi proveedor proxy?

Idealmente, me gustaría poder investigar esto más a fondo; Si alguien tiene algún consejo sobre cómo podría realizar un análisis / análisis forense adicional, o proporcionar lecturas adicionales, estaría muy agradecido.

He pegado debajo de algunos fragmentos de mi /var/log/auth.log , y las direcciones IP ofensivas para mostrar cómo no están en la misma subred (de los registros, ninguno parece haber podido conectarse, ya que tengo SSH deshabilitado para el usuario root ).

/var/log/auth.log

Mar 15 11:33:18 MyBox sshd[19993]: Invalid user curis from 101.254.141.27
Mar 15 11:33:18 MyBox sshd[19993]: input_userauth_request: invalid user curis [preauth]
Mar 15 11:33:18 MyBox sshd[19993]: pam_unix(sshd:auth): check pass; user unknown
Mar 15 11:33:18 MyBox sshd[19993]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=101.254.141.27 
Mar 15 11:33:21 MyBox sshd[19993]: Failed password for invalid user curis from 101.254.141.27 port 9038 ssh2
Mar 15 11:33:21 MyBox sshd[19993]: Received disconnect from 101.254.141.27: 11: Bye Bye [preauth]
Mar 15 11:33:24 MyBox sshd[19995]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=101.254.141.27  user=root
Mar 15 11:33:26 MyBox sshd[19995]: Failed password for root from 101.254.141.27 port 10549 ssh2
Mar 15 11:33:27 MyBox sshd[19995]: Received disconnect from 101.254.141.27: 11: Bye Bye [preauth]

...

Mar 17 19:13:38 MyBox sshd[4369]: reverse mapping checking getaddrinfo for 12.145.195.113.adsl-pool.jx.chinaunicom.com [113.195.145.12] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 17 19:13:38 MyBox sshd[4369]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.195.145.12  user=root
Mar 17 19:13:40 MyBox sshd[4369]: Failed password for root from 113.195.145.12 port 38767 ssh2
Mar 17 19:13:55 MyBox sshd[4369]: message repeated 5 times: [ Failed password for root from 113.195.145.12 port 38767 ssh2]
Mar 17 19:13:55 MyBox sshd[4369]: error: maximum authentication attempts exceeded for root from 113.195.145.12 port 38767 ssh2 [preauth]
Mar 17 19:13:55 MyBox sshd[4369]: Disconnecting: Too many authentication failures for root [preauth]
Mar 17 19:13:55 MyBox sshd[4369]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.195.145.12  user=root
Mar 17 19:13:55 MyBox sshd[4369]: PAM service(sshd) ignoring max retries; 6 > 3

Algunas de las direcciones IP ofensivas

125.64.93.78
125.212.232.112
40.117.40.125
202.83.25.95
185.110.132.54
50.56.29.14
73.240.201.33
78.22.85.130
91.64.44.228
    
pregunta 18.03.2016 - 15:42
fuente

1 respuesta

2

Aunque no conozco la configuración exacta de su dispositivo y red, puedo sugerir un escenario que coincida con lo que está viendo.

En su LAN local tiene un adaptador de red (digamos eth0) que tiene una dirección IP interna no enrutable que está detrás de una interfaz NAT y un firewall, por lo que no se puede contactar directamente.

Cuando te conectas a tu VPN, aparecerá otra interfaz de red (por ejemplo, tap0) que crea un túnel cifrado fuera de tu red a tu proveedor de VPN. En ese momento, es totalmente posible que la dirección IP que obtiene de su proveedor de VPN sea esencialmente una enrutable públicamente, que no está protegida por el firewall de su hogar ya que el túnel no pasa por alto esto.

Entonces, si sus servicios de red (por ejemplo, SSHD) están configurados para enlazarse con todas las interfaces de red en su sistema (una configuración bastante común) cuando se abre la interfaz VPN, también se enlazarán con eso, entonces si se hace público las direcciones enrutables estarán "expuestas" a Internet.

Puede verificar esto haciendo algo como ifconfig para obtener una lista de interfaces y direcciones IP y luego sudo netstat -tunap , que debe mostrar a qué interfaces están vinculados sus servicios de red.

Si ves [dirección_de_vpn: 22] o [0.0.0.0:22], eso explicaría lo que estás viendo.

    
respondido por el Rоry McCune 18.03.2016 - 18:46
fuente

Lea otras preguntas en las etiquetas