VPN - Perché il mio portatile NAT'ed è sottoposto a SSH-brute forzato da IP esterni quando si è in VPN?

1

Utilizzo una licenza commerciale a pagamento a un provider VPN, che utilizzo su due box, un FreeBSD e un BackBox Linux.

Una volta connesso a questo proxy, la mia interfaccia riceve un IP pubblico dal provider VPN.

Il mio router di casa non ha porte aperte esposte a Internet (ho testato tutte le 65 migliaia di porte con Nmap, provenienti da un IP diverso). Inoltre, non è configurato per eseguire alcun port forwarding e non ho attivato DMZ.

Guardando il mio /var/log/auth.log ho notato che gli IP del dominio pubblico provano a brute-force il mio SSH. Questo succede solo se connesso alla VPN.

Come è possibile che gli IP esterni raggiungano i miei box NAT? La mia unica spiegazione è che stanno arrivando attraverso la mia connessione VPN, ma se questo è il caso, perché questi IP non si trovano sulla stessa sottorete di quella del mio provider proxy?

Idealmente, vorrei essere in grado di investigare ulteriormente su di me; se qualcuno ha qualche consiglio su come potrei fare qualche ulteriore analisi / medicina legale, o fornire ulteriori letture, sarei molto grato.

Ho incollato sotto alcuni frammenti del mio /var/log/auth.log , e gli IP incriminati per mostrare come non si trovano nella stessa sottorete (dai log nessuno sembra essere riuscito a connettersi, dal momento che ho SSH disabilitato per l'utente root ).

/var/log/auth.log

Mar 15 11:33:18 MyBox sshd[19993]: Invalid user curis from 101.254.141.27
Mar 15 11:33:18 MyBox sshd[19993]: input_userauth_request: invalid user curis [preauth]
Mar 15 11:33:18 MyBox sshd[19993]: pam_unix(sshd:auth): check pass; user unknown
Mar 15 11:33:18 MyBox sshd[19993]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=101.254.141.27 
Mar 15 11:33:21 MyBox sshd[19993]: Failed password for invalid user curis from 101.254.141.27 port 9038 ssh2
Mar 15 11:33:21 MyBox sshd[19993]: Received disconnect from 101.254.141.27: 11: Bye Bye [preauth]
Mar 15 11:33:24 MyBox sshd[19995]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=101.254.141.27  user=root
Mar 15 11:33:26 MyBox sshd[19995]: Failed password for root from 101.254.141.27 port 10549 ssh2
Mar 15 11:33:27 MyBox sshd[19995]: Received disconnect from 101.254.141.27: 11: Bye Bye [preauth]

...

Mar 17 19:13:38 MyBox sshd[4369]: reverse mapping checking getaddrinfo for 12.145.195.113.adsl-pool.jx.chinaunicom.com [113.195.145.12] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 17 19:13:38 MyBox sshd[4369]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.195.145.12  user=root
Mar 17 19:13:40 MyBox sshd[4369]: Failed password for root from 113.195.145.12 port 38767 ssh2
Mar 17 19:13:55 MyBox sshd[4369]: message repeated 5 times: [ Failed password for root from 113.195.145.12 port 38767 ssh2]
Mar 17 19:13:55 MyBox sshd[4369]: error: maximum authentication attempts exceeded for root from 113.195.145.12 port 38767 ssh2 [preauth]
Mar 17 19:13:55 MyBox sshd[4369]: Disconnecting: Too many authentication failures for root [preauth]
Mar 17 19:13:55 MyBox sshd[4369]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.195.145.12  user=root
Mar 17 19:13:55 MyBox sshd[4369]: PAM service(sshd) ignoring max retries; 6 > 3

Alcuni degli IP offendenti

125.64.93.78
125.212.232.112
40.117.40.125
202.83.25.95
185.110.132.54
50.56.29.14
73.240.201.33
78.22.85.130
91.64.44.228
    
posta 18.03.2016 - 15:42
fonte

1 risposta

2

Anche se non conosco la configurazione esatta del dispositivo e della rete, posso suggerire uno scenario che corrisponda a quello che stai vedendo.

Sulla tua lan locale hai una scheda di rete (diciamo eth0) che ha un indirizzo IP interno non instradabile che si trova dietro un'interfaccia NAT e un firewall, quindi non può essere contattato direttamente.

Quando ti connetti alla tua rete VPN, verrà visualizzata un'altra interfaccia di rete (ad esempio, tap0) che crea un tunnel crittografato dalla tua rete al tuo provider VPN. A quel punto è del tutto possibile che l'indirizzo IP che si ottiene dal provider VPN sia essenzialmente un routable pubblicamente, che non è protetto dal firewall di casa mentre il tunnel lo ignora.

Quindi se i tuoi servizi di rete (ad esempio SSHD) sono configurati per collegarsi a tutte le interfacce di rete del tuo sistema (una configurazione piuttosto comune) quando apri l'interfaccia VPN, si collegheranno anche a questo, quindi se ottiene un pubblico l'indirizzo instradabile verrà "esposto" a Internet.

Puoi controllare ciò facendo qualcosa come ifconfig per ottenere un elenco di interfacce e indirizzi IP e poi sudo netstat -tunap che dovrebbe mostrare a quali interfacce sono associati i tuoi servizi di rete.

Se vedi [your_vpn_address: 22] o [0.0.0.0:22], ciò spiegherebbe ciò che stai vedendo.

    
risposta data 18.03.2016 - 18:46
fonte

Leggi altre domande sui tag