[HACK] Opciones VPN "seguras" para iPhone

Jesus Cea jcea at jcea.es
Mon Mar 26 17:54:47 CEST 2012 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 26/03/12 11:30, Roman Medina-Heigl Hernandez wrote:
> .ovpn creo recordar que puedes decirle que haga reset completo del
> tunel cuando haya pérdida de conectividad; en este caso, entiendo
> que puede haber una ventana de tiempo -mínima- durante la cual las 
> rutas "viejas" (aka sin cifrar) se establecen, para posteriormente 
> reactivarse las rutas "cifradas" (no se si me explico... :)).

El ataque es muy evidente: Estoy en una red "hostil" y el atacante o
me filtra el puerto OpenVPN o me hace proxy ARP o similar y,
básicamente, hace que mi túnel deje de funcionar.

En ese caso prefiero quedarme sin acceso a internet que arriesgarme.

Esa ventana "mínima" es suficiente para filtrar una clave, un chat, lo
que sea, y liarla parda. Un datagrama vale.

No es tolerable.

> Resumiendo, la posibilidad de que el openvpn "se rompa" y estés
> cursando tráfico sin cifrar siempre existe. Aunque creo que es
> relativamente pequeña (ya tienes que tener cierta mala suerte... y
> encima no enterarte).

Bueno, en el portátil me lo he currado para que no exista en absoluto.
Es un riesgo que me parece inasumible e intolerable.

En el portátil lo tengo solucionado. En el móvil parece que no hay
opción de hacer nada serio.

> Respecto a tener el DNS "capado", pienso que ya es rizar el rizo.
> En mi caso, lo que sí tuve es que tunear el .ovpn para fijar unos
> servidores DNS -los de google- mientras dure el túnel (así el
> tráfico dns se tuneliza también).

Si dejas el DNS abierto, es trivial espiar tu tráfico. Basta con
resolver cualquier petición DNS hacia un proxy, en la LAN o en
Internet, y todo tu tráfico estará siendo espiado, por mucha VPN que uses.

> Si no hay tunel, el dns es "el que le toque" (según si esté
> conectado por wifi -dhcp- o 3g/gprs). La configuración .ovpn
> también evita el mitm (i.e. alguien que quisiera suplantar al
> servidor VPN; hay autenticación mútua vía certs).

Lo sé. Si permito que un ataque controle mi DNS, estoy jodido, use VPN
o no. La única opción segura es ignorar la configuración DNS recibida
por DHCP, y tirar de servidores DNS de confianza en internet, y que
ese tráfico DNS vaya también por el túnel.

> PD: Jesús, no te pinta hacer cross-posting! :-P

Ha sido un experimento interesante :-).

- -- 
Jesus Cea Avion                         _/_/      _/_/_/        _/_/_/
jcea at jcea.es - http://www.jcea.es/     _/_/    _/_/  _/_/    _/_/  _/_/
jabber / xmpp:jcea at jabber.org         _/_/    _/_/          _/_/_/_/_/
.                              _/_/  _/_/    _/_/          _/_/  _/_/
"Things are not so easy"      _/_/  _/_/    _/_/  _/_/    _/_/  _/_/
"My name is Dump, Core Dump"   _/_/_/        _/_/_/      _/_/  _/_/
"El amor es poner tu felicidad en la felicidad de otro" - Leibniz
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQCVAwUBT3CRRplgi5GaxT1NAQIPIQQAgZStK0SYEXXuO+yEspIKaqjgEJ7NswfF
mg8/WgMeQFVj82oPMW0zWui8wTEoX3YBoNSCIB2Vy2gyfJw9gHe7xOLvOpg6uHFO
WIAUM731EFYPcKyYRPEN1rE109eUH3Cun075Mzfq+6E3CapiYfIOnDxfdKFVNg9/
5mqXj6/5WlQ=
=IcR3
-----END PGP SIGNATURE-----

More information about the hacking mailing list