mercoledì 30 maggio 2018

DNS Leak su ProtonVPN

Premessa: non so se sia un problema legato a ProtonVNP o dal client di OpenVPN

Mi stavo divertendo a fare pentesting su un server amico e per questo motivo stavo usando una connessione VPN tramite ProtonVPN (modalita' free sul server americano)

Nel contempo stavo tenendo Chrome aperto per cercare informazioni su Internet.

Ad un certo punto (non sono riuscito a ripetere il problema) mi e' comparso una finestra di Chrome di pop-under nella quale era mostrata la pagina di OpenDNS che mi segnalava l'accesso ad un pagina non consentita di gaming. Come gia' indicato qui a casa uso un semplice sistema di parental control ed OpenDNS ha fatto il suo lavoro....c'e' un problema.....essendo su un tunnel VPN le chiamate DNS non doveva essere instradate sul server DNS impostato dal mio DHCP server ma dovevano essere utilizzati quelli di ProtonVPN....in pratica la chiamata VPN era stata effettata al di fuori della connessione criptata....cio' che si chiama un DNS Leak

Non sono riuscito a ripetere il problema ma comunque un metodo di monitorare le chiamate al DNS puo' essere il seguente (dove tun0 e' l'interfaccia virtuale VPN)

tcpdump -i tun0 udp port 53 > dns.txt

oppure usando bind