[HACK] Opciones VPN "seguras" para iPhone

Jesus Cea jcea at jcea.es
Thu Mar 29 04:06:13 CEST 2012 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 27/03/12 12:01, Roman Medina-Heigl Hernandez wrote:
> Esta posibilidad existe, como bien dices. Yo lo que haría para 
> mitigar (que no evitar) lo de "filtrar el puerto de ovpn" es
> correr el openvpn en el 443/tcp, lo cual tiene también la ventaja 
> adicional de tener cubierto también el caso de que en tu red solo 
> se pueda salir via proxy (corporativo, que haya montado la 
> organización del evento, o lo que sea; el cliente ovpn también 
> soporta proxy). Con eso y con todo, también te pueden filtrar en
> el proxy, etc. Pero vas complicando la cosa un poquito más, te
> haces algo más invisible... Por tanto, algo mejoras, aunque no
> evitas 100% la problemática, esto es cierto.

En mi caso no necesito ser invisible o atravesar cortafuegos nazis,
sino asegurarme de que, pase lo que pase, nunca voy a transmitir
tráfico sin cifrar. No puedo tolerar que un atacante me tire el túnel
y que mi tráfico pase a estar abierto.

> Aunque esto es como todo: si tienes una urgencia, ¿te la jugarías?

Como regla general, no. No me la juego.

En casos particulares, abro el cortafuegos de SALIDA de mi portátil de
forma muy selectiva. Por ejemplo, para configurarle el router WIFI al
vecino O:-) o para poder imprimir en la impresora de un amigo.

Mi premisa siempre es que la red es ACTIVAMENTE hostil.

En casos límite, permito salida sin túnel y me limito a protocolos
cifrados de por sí, como SSH o SSL/TLS.

Si la única opción pasa por mandar tráfico sin cifrar, y realmente lo
necesito, salgo por el 3G del móvil, y monto el túnel a través de esa
conexión.

> Esto es, asumiría ese pequeño riesgo del que he hablado, y
> acotaría la ventana de uso (no estaría todo el día conectado,
> obviamente).

Usar una conexión abierta durante cinco segundos te compromete en
cuanto no hay un tipo mirándote por encima del hombro, que se va a
dormir de vez en cuando, sino un sniffer capturando TODO lo que puede.

> Es más, me fiaría más de mi solución que probablemente de utilizar 
> 3g (para que Taddong te haga un downgrade a gprs y te sniffe!!!).

En redes muy capullas, salgo por el 3G y monto el túnel a través de él.

Pasarme a GPRS haría que me fuese lento, pero seguiría siendo seguro.

> Quiero decir, menos da una piedra :))

La seguridad perfecta no existe, pero hay prácticas que simplemente
son obviamente arriesgadas. Como el sexo :-).

Por ejemplo, mi clave PGP para el correo electrónico tiene una
passphrase que hay que introducir cada 5 minutos. Esto lo puse cuando
estaba en la oficina, y no quería que alguien mandase un email si me
voy a hacer pis y no bloqueo la pantalla.

Pero ahora que me llevo el portátil por ahí, estoy pensando muy
seriamente subir ese tiempo a una hora, o a cuatro. Me parece más
seguro bloquear el ordenador cuando no estoy delante que tener cuidado
con que el que tengo al lado en la conferencia se fije en una clave
que meto CADA CINCO MINUTOS :-).

Otra opción es abrir la clave solo cuando estoy cerca, por ejemplo,
controlado por Bluetooth.

Lo más sencillo es no firmar correo cuando no tengo garantías de que
no me vean por encima del hombro. De hecho en esos casos es mejor ni
ver el email. No quiero que nadie sepa que compro viagra por Internet.

Oh, wait...

> Aparte de que tu túnel también tiene su punto débil: tu 
> ISP/carrier, que podría sniffar, llegado el caso. Y no me vale que 
> uses TOR (donde la poli coloca nodos falsos y por tanto, también
> te pueden acabar pillando).

Me fío más de una máquina hospedada por ahí fuera, en un sitio gordo,
como terminador de túnel, que entrar en la WIFI de un hotel o de la
Rooted sin usar cifrado :-).

> Supongo que modificas el iptables con algún script y fuerzas que
> no salga tráfico por fuera del túnel, no?

Si, mi cortafuegos filtra la salida, además de la entrada. En salida
solo permito el propio tráfico del túnel, el SSH y muy poco más. En
concreto, no permito DNS por fuera del túnel, por lo explicado en el
mensaje anterior, y más abajo.

> Con ese tipo de aproximación, seguro que puedes hacer algo similar 
> teniendo el iphone con JB. Para que veas que el JB también puede 
> mejorar la seguridad, según como se mire! :)

Prefiero no utilizar JB. Me consta que siendo un sistema Unix, con
acceso ROOT se pueden hacer cosas interesantes, pero con JB también
pierdo funcionalidades, es un riesgo, y me obliga a saber más del
iPhone de lo que quisiera.

>> Si dejas el DNS abierto, es trivial espiar tu tráfico. Basta con
>>  resolver cualquier petición DNS hacia un proxy, en la LAN o en 
>> Internet, y todo tu tráfico estará siendo espiado, por mucha VPN 
>> que uses.
> 
> Quizás no me he explicado. La config de .ovpn también permite 
> setear, no solo parámetros de rutado, sino otros parámetros de
> red, como p.ej el DNS. En mi caso, el DNS era IP privada, dentro de
> mi red, pero en distinto segmento. Al abrir un túnel en el que
> "por defecto todo pasa por él" (excepto la IP del servidor Openvpn,
> por razones obvias), me quedaba sin DNS (el túnel da acceso a
> Internet pero no a direccionamiento privado, también por razones
> obvias). Por eso seteo con ovpn un DNS público, como el de Google.
> Con esto: - te evitas el problema que he comentado de "quedarte
> sin dns" (que además, como lo pilla por DHCP de la wifi a la que
> estés conectado sería más dificil fixearlo con routing, etc...) -
> te aseguras de que el tráfico DNS va todo a través del tunel. Que
> es lo importante :) (como bien dices, el tráfico DNS sin tunelizar 
> sería un punto débil muy chungo).

Bueno, DHCP puede meterte una ruta hacia ese DNS público y capturar tu
tráfico hacia él. Un atacante puede tirar tu WIFI y levantarla de
nuevo sin cortar el túnel, inyectándote nuevas rutas y nuevos DNS.
Además, yo puedo establecer varias conexiones y el DNS acabaría
apuntando a sabe dios donde (por ejemplo, conexión por WIFI y por 3G
por USB, simultaneamente). Si prohibo todo tráfico DNS fuera del
túnel, si el DNS quedase "raro" tendría problemas de resolución de
nombres y podría investigarlo, en vez de empezar a filtrar tráfico en
claro de forma inadvertida.


Tras la rooted del año pasado pensé en presentar una charla sobre este
tema para 2012, pero me pareció muy básico para el nivel de la
conferencia. Pero cuanto más hablo con la gente de todo esto más me
parece que sí valdría la pena escribir/presentar algo :-) ...

- -- 
Jesus Cea Avion                         _/_/      _/_/_/        _/_/_/
jcea at jcea.es - http://www.jcea.es/     _/_/    _/_/  _/_/    _/_/  _/_/
jabber / xmpp:jcea at jabber.org         _/_/    _/_/          _/_/_/_/_/
.                              _/_/  _/_/    _/_/          _/_/  _/_/
"Things are not so easy"      _/_/  _/_/    _/_/  _/_/    _/_/  _/_/
"My name is Dump, Core Dump"   _/_/_/        _/_/_/      _/_/  _/_/
"El amor es poner tu felicidad en la felicidad de otro" - Leibniz
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQCVAwUBT3PDlZlgi5GaxT1NAQI9fwP/XncXMNdb/wMLH9R99xy5JSiO1sbPUJs1
6OUb2G8dv+g/ondZXSwbIbpvEoHW836WA3nICyLibXbFhXVpWxvfjUC35I0Sy7mG
MWa8CYU4Vh+NsEFgYDbmoztTd/h3GHlDK0o8avblV1i/b5AzwJVco6ZPXURtVPrd
iYLv2XOeYTw=
=oB5g
-----END PGP SIGNATURE-----

More information about the hacking mailing list