Qualcuno usa PureVPN in Ubuntu? pericolo DNS Leak

[Spongebob]

Ho notato che c'è un gravissimo problema di sicurezza: quando connessi alla VPN si va incontro a DNS Leak, infatti facendo il test da DNS Leak Test appare l'IP del DNS del nostro ISP! L'ha notato qualcun altro oltre me? Conoscete un modo per risolvere questa importante falla di sicurezza?
Grazie, saluti

[tokijin]

Ciao, modifica per favore il titolo con uno meno generico che spieghi meglio la situazione.

Ciao

[Spongebob]

Fatto! Chiedo scusa

[Filoteo]

Puoi postare il contenuto del file /etc/resolv.conf prima e dopo esserti connesso alla VPN?

Fai anche questo:

Codice: Seleziona tutto

ls -l /etc/openvpn/update-resolv-conf

[thece]

Per affrontare bene il problema bisognerebbe analizzare come il sistema viene modificato dall'attivazione della connessione VPN. Quindi "fotografare" il tuo sistema (la sola parte relativa alle impostazioni di rete), attivare la connessione alla VPN, "rifotografare" il tuo sistema ed analizzare i cambiamenti.

[Spongebob]

Devo rimuovere qualche dato sensibile prima postare il file oppure lo incollo tal quale?

Puoi postare il contenuto del file /etc/resolv.conf prima e dopo esserti connesso alla VPN?

Fai anche questo:

Codice: Seleziona tutto

ls -l /etc/openvpn/update-resolv-conf

[Filoteo]

Dovrebbero esserci i DNS di sistema e eventualmente i DNS della VPN. In entrambi i casi non li reputerei dati sensibili.

[Spongebob]

Puoi postare il contenuto del file /etc/resolv.conf prima e dopo esserti connesso alla VPN?

Fai anche questo:

Codice: Seleziona tutto

ls -l /etc/openvpn/update-resolv-conf

Puoi postare il contenuto del file /etc/resolv.conf prima e dopo esserti connesso alla VPN?

Fai anche questo:

Codice: Seleziona tutto

ls -l /etc/openvpn/update-resolv-conf

Ecco qua gli output dei comandi indicati:

/etc/resolv.conf CON VPN

Codice: Seleziona tutto

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.1.1

/etc/resolv.conf SENZA VPN

Codice: Seleziona tutto

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.1.1

ls -l /etc/openvpn/update-resolv-con

Codice: Seleziona tutto

-rwxr-xr-x 1 root root 1301 giu 22  2017 /etc/openvpn/update-resolv-conf

Grazie

[Filoteo]

Quindi i DNS rimangano gli stessi anche dopo la connessione. Ti connetti a PureVPN utilizzando openvpn (hai un file .ovpn)?

[thece]

Quindi i DNS rimangano gli stessi anche dopo la connessione.

Non è detto.

Codice: Seleziona tutto

nameserver 127.0.1.1

è il riferimento al DNS proxy locale (dnsmasq). Occorre vedere quali server DNS vengono passati a dnsmasq dopo la connessione alla VPN ... ad esempio con

Codice: Seleziona tutto

nmcli device show

[Filoteo]

Giusto, anche se per la mia esperienza NetworkManager non li cambiava con quelli del server VPN.

[thece]

Giusto, anche se per la mia esperienza NetworkManager non li cambiava con quelli del server VPN.

Ora che mi ci fai pensare è vero, difatti io attivo la connessione alla mia VPN usando il comando openvpn

[Spongebob]

Quindi i DNS rimangano gli stessi anche dopo la connessione. Ti connetti a PureVPN utilizzando openvpn (hai un file .ovpn)?

Si, utilizzo la loro App da terminale PureVpn Setup on Linux

[Spongebob]

Quindi i DNS rimangano gli stessi anche dopo la connessione.

Non è detto.

Codice: Seleziona tutto

nameserver 127.0.1.1

è il riferimento al DNS proxy locale (dnsmasq). Occorre vedere quali server DNS vengono passati a dnsmasq dopo la connessione alla VPN ... ad esempio con

Codice: Seleziona tutto

nmcli device show

Quali dati sensibili del comando

Codice: Seleziona tutto

nmcli device show

devo oscurare? Grazie

[Spongebob]

Quindi i DNS rimangano gli stessi anche dopo la connessione.

Non è detto.

Codice: Seleziona tutto

nameserver 127.0.1.1

è il riferimento al DNS proxy locale (dnsmasq). Occorre vedere quali server DNS vengono passati a dnsmasq dopo la connessione alla VPN ... ad esempio con

Codice: Seleziona tutto

nmcli device show

Output comando

Codice: Seleziona tutto

nmcli device show

(ho rimosso i MAC)

Senza VPN

Codice: Seleziona tutto

GENERAL.DEVICE:                         wlp12s0
GENERAL.TIPO:                           wifi
GENERAL.HWADDR:                         
GENERAL.MTU:                            0
GENERAL.STATO:                          100 (collegato)
GENERAL.CONNESSIONE:                    Alw
GENERAL.PERCORSO-CON:                   /org/freedesktop/NetworkManager/ActiveConnection/2
IP4.INDIRIZZO[1]:                       192.168.1.74/24
IP4.GATEWAY:                            192.168.1.254
IP4.INSTRADAMENTO[1]:                   dst = 169.254.0.0/16, nh = 0.0.0.0, mt = 1000
IP4.DNS[1]:                             208.67.222.222
IP4.DNS[2]:                             208.67.220.220
IP6.INDIRIZZO[1]:                       fe80::a145:7e52:609c:428d/64
IP6.GATEWAY:                            
IP6.DNS[1]:                             fe80::3291:8fff:fe7f:56ce

GENERAL.DEVICE:                         enp9s0
GENERAL.TIPO:                           ethernet
GENERAL.HWADDR:                         
GENERAL.MTU:                            1500
GENERAL.STATO:                          20 (non disponibile)
GENERAL.CONNESSIONE:                    --
GENERAL.PERCORSO-CON:                   --
WIRED-PROPERTIES.PORTANTE:              off

GENERAL.DEVICE:                         lo
GENERAL.TIPO:                           loopback
GENERAL.HWADDR:                         00:00:00:00:00:00
GENERAL.MTU:                            65536
GENERAL.STATO:                          10 (non gestito)
GENERAL.CONNESSIONE:                    --
GENERAL.PERCORSO-CON:                   --
IP4.INDIRIZZO[1]:                       127.0.0.1/8
IP4.GATEWAY:                            
IP6.GATEWAY:              

Con VPN

Codice: Seleziona tutto

GENERAL.DEVICE:                         tun0
GENERAL.TIPO:                           tun
GENERAL.HWADDR:                         
GENERAL.MTU:                            1500
GENERAL.STATO:                          100 (collegato)
GENERAL.CONNESSIONE:                    tun0
GENERAL.PERCORSO-CON:                   /org/freedesktop/NetworkManager/ActiveConnection/3
IP4.INDIRIZZO[1]:                       206.123.147.86/27
IP4.GATEWAY:                            
IP4.INSTRADAMENTO[1]:                   dst = 0.0.0.0/1, nh = 206.123.147.65, mt = 0
IP4.INSTRADAMENTO[2]:                   dst = 128.0.0.0/1, nh = 206.123.147.65, mt = 0
IP6.GATEWAY:                            

GENERAL.DEVICE:                         wlp12s0
GENERAL.TIPO:                           wifi
GENERAL.HWADDR:                         
GENERAL.MTU:                            0
GENERAL.STATO:                          100 (collegato)
GENERAL.CONNESSIONE:                    Ale
GENERAL.PERCORSO-CON:                   /org/freedesktop/NetworkManager/ActiveConnection/2
IP4.INDIRIZZO[1]:                       192.168.1.74/24
IP4.GATEWAY:                            192.168.1.254
IP4.INSTRADAMENTO[1]:                   dst = 206.123.147.2/32, nh = 192.168.1.254, mt = 0
IP4.INSTRADAMENTO[2]:                   dst = 169.254.0.0/16, nh = 0.0.0.0, mt = 1000
IP4.DNS[1]:                             208.67.222.222
IP4.DNS[2]:                             208.67.220.220
IP6.INDIRIZZO[1]:                       fe80::a145:7e52:609c:428d/64
IP6.GATEWAY:                            
IP6.DNS[1]:                             

GENERAL.DEVICE:                         enp9s0
GENERAL.TIPO:                           ethernet
GENERAL.HWADDR:                         
GENERAL.MTU:                            1500
GENERAL.STATO:                          20 (non disponibile)
GENERAL.CONNESSIONE:                    --
GENERAL.PERCORSO-CON:                   --
WIRED-PROPERTIES.PORTANTE:              off

GENERAL.DEVICE:                         lo
GENERAL.TIPO:                           loopback
GENERAL.HWADDR:                         00:00:00:00:00:00
GENERAL.MTU:                            65536
GENERAL.STATO:                          10 (non gestito)
GENERAL.CONNESSIONE:                    --
GENERAL.PERCORSO-CON:                   --
IP4.INDIRIZZO[1]:                       127.0.0.1/8
IP4.GATEWAY:                      

[thece]

Uhm ... con la VPN attiva i DNS dovrebbero modificarsi in quelli del tuo provider della VPN ... e non rimanere quelli di OpenVPN ... probabilmente NM ci sta mettendo lo zampino.

Pure VPN ti ha fornito un file di configurazione .ovpn?

Mi posteresti l'output di questi due comandi dopo che ti sei connesso alla VPN?

Codice: Seleziona tutto

ifconfig
route -n

[Spongebob]

Uhm ... con la VPN attiva i DNS dovrebbero modificarsi in quelli del tuo provider della VPN ... e non rimanere quelli di OpenVPN ... probabilmente NM ci sta mettendo lo zampino.

Pure VPN ti ha fornito un file di configurazione .ovpn?

Mi posteresti l'output di questi due comandi dopo che ti sei connesso alla VPN?

Codice: Seleziona tutto

ifconfig
route -n

No, non mi è stato dato un file di configurazione .ovpn
Output ifconfig:

Codice: Seleziona tutto

enp9s0    Link encap:Ethernet  IndirizzoHW **:**:**:**:**:**  
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisioni:0 txqueuelen:1000 
          Byte RX:0 (0.0 B)  Byte TX:0 (0.0 B)

lo        Link encap:Loopback locale  
          indirizzo inet:127.0.0.1  Maschera:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:3059 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3059 errors:0 dropped:0 overruns:0 carrier:0
          collisioni:0 txqueuelen:1000 
          Byte RX:364828 (364.8 KB)  Byte TX:364828 (364.8 KB)

tun0      Link encap:UNSPEC  IndirizzoHW 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          indirizzo inet:206.123.147.77  P-t-P:206.123.147.77  Maschera:255.255.255.224
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5 errors:0 dropped:0 overruns:0 carrier:0
          collisioni:0 txqueuelen:100 
          Byte RX:0 (0.0 B)  Byte TX:490 (490.0 B)

wlp12s0   Link encap:Ethernet  IndirizzoHW **:**:**:**:**:**
          indirizzo inet:192.168.1.74  Bcast:192.168.1.255  Maschera:255.255.255.0
          indirizzo inet6: fe80::a145:7e52:609c:428d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:17169 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10053 errors:0 dropped:0 overruns:0 carrier:0
          collisioni:0 txqueuelen:1000 
          Byte RX:6700229 (6.7 MB)  Byte TX:1907009 (1.9 MB)

Output route -n

Codice: Seleziona tutto

Tabella di routing IP del kernel
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         206.123.147.65  128.0.0.0       UG    0      0        0 tun0
0.0.0.0         192.168.1.254   0.0.0.0         UG    600    0        0 wlp12s0
128.0.0.0       206.123.147.65  128.0.0.0       UG    0      0        0 tun0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlp12s0
192.168.1.0     0.0.0.0         255.255.255.0   U     600    0        0 wlp12s0
206.123.147.2   192.168.1.254   255.255.255.255 UGH   0      0        0 wlp12s0
206.123.147.64  0.0.0.0         255.255.255.224 U     0      0        0 tun0

[thece]

Gli output, come mi aspettavo vanno bene

No, non mi è stato dato un file di configurazione .ovpn

Cosa ti è stato dato?

[Spongebob]

Un'applicazione sotto forma di pacchetto .deb che gira sul terminale

[thece]

Mi fai vedere qual'è il contenuto di quel file?

Codice: Seleziona tutto

dpkg -c <FILE>.deb