Puzzle: ¿intrusión en la red o colisión OpenDNS / Disconnect.me?

Question

Puzzle: ¿intrusión en la red o colisión OpenDNS / Disconnect.me?

#1 de Andy Giesler (1 votos)

0

La red de mi hogar / oficina doméstica usa OpenDNS como filtro de contenido. Como administrador de OpenDNS, recibí un correo electrónico de "El usuario quiere acceder a ..." que indica que alguien intentó acceder a un sitio bloqueado y solicitó que se desbloquee. El nombre del usuario y la dirección de correo electrónico no me eran familiares.

Sin embargo, después de estudiar el momento de la solicitud, los detalles del correo electrónico de solicitud y los registros del enrutador, estoy bastante seguro de que el dispositivo que realizó la solicitud no estaba conectado a mi red en ese momento. La solicitud provino de una dirección IP de Disconnect.me VPN.

Estoy confuso sobre la topología de una configuración de router a DSL-módem a OpenDNS, especialmente con Disconnect.me. ¿Es posible que esto sea una interacción inesperada entre OpenDNS y Disconnect.me? ¿O hay alguna otra forma en que un correo electrónico de OpenDNS "El usuario quiere acceso" podría ser enrutado al administrador incorrecto desde un dispositivo que no está directamente en la red del administrador?

Más detalles:

El correo electrónico de solicitud era de un iPad, y el panel de control de mi WRT1900AC dice que este iPad nunca se ha autenticado en mi red, por lo que la intrusión de red parece algo improbable. Además, es casi seguro que alguien tan astuto como para piratear mi enrutador no sería lo suficientemente torpe para completar un formulario, proporcionar su nombre y dirección de correo electrónico basada en ISP (@sbcglobal) y pedirme que desbloquee un sitio web para adultos.

Casualmente (?) Hace poco comencé a probar la VPN de Disconnect en una estación de trabajo con Windows, pero esa máquina estaba apagada en el momento de la solicitud.

network intrusion

pregunta Andy Giesler 04.01.2015 - 23:47

fuente

1 respuesta

Lea otras preguntas en las etiquetas network intrusion

Protocolo de cifrado de difusión para el servicio de intercambio de archivos (a-la Dropbox) sqlmap - ¿Volcar varias columnas a la vez? [cerrado]

score 1 · Answer 1

El problema aquí no tiene que ver con la seguridad de la información como en "alguien hackeando mi red", sino con la seguridad de la información como en "la información que se filtra inesperadamente de un usuario a otro".

Y está causado por una interacción entre OpenDNS y Disconnect.me VPN. Supongo que otras VPN de acción similar tendrían la misma interacción.

Lo que hace OpenDNS

Si ejecuta OpenDNS, aprende a reconocer su dirección IP y la utiliza para aplicar sus reglas de filtrado a todo su tráfico. Y si ejecuta la utilidad OpenDNS IP Updater (como se recomienda), la utilidad informará a los servidores de OpenDNS si ve un cambio en la dirección IP externa de su red, lo que puede ocurrir en cualquier red cuyo proveedor asigne IP de forma dinámica.

OpenDNS x Disconnect.me VPN

Ahora lanza la VPN de Disconnect.me en la mezcla. Mientras se ejecuta la VPN Disconnect.me, asigna temporalmente a su computadora una nueva dirección IP. Esta es la dirección de un servidor VPN Disconnect.me, y la dirección es compartida por otros usuarios de Disconnect.me. El Actualizador de OpenDNS ve esta nueva dirección IP y le dice a los servidores de OpenDNS que la asocien con su cuenta.

Oops.

Por qué es un problema

Ahora, cualquier usuario de Disconnect.me que también también ejecute OpenDNS, y que pase por el mismo servidor Disconnect.me, filtrará todo su tráfico de acuerdo con sus reglas de OpenDNS. Peor aún, si solicitan que su administrador desbloquee un sitio, recibirá esa solicitud por correo electrónico en lugar de que su administrador lo reciba.

Cuando tuvimos esta configuración implementada, los servidores OpenDNS mostraron que nuestras estadísticas de tráfico aumentaron en casi un 1,000% (2,400 solicitudes por día frente a 20,000 solicitudes por día). Esto se debió a que el tráfico de otros usuarios se enrutaba a través de nuestra cuenta OpenDNS para el filtrado. Si uno de esos usuarios no hubiera solicitado acceso a un sitio bloqueado, es posible que no hayamos reconocido el problema durante mucho tiempo.

Solución

No use Disconnect.me VPN en una computadora que ejecute la utilidad OpenDNS Updater.

Sospecho que Disconnect.me VPN también podría resolver este problema al proporcionar su propio servicio de búsqueda de DNS en lugar de ejecutar el servicio de DNS predeterminado de la computadora. (Voy a plantear esta posibilidad con ellos.)