OpenVPN을 이용해 LTE 망에서 DNS서버를 바꾸는 법

2420   
   조회 1378   추천 0    

원래 celluar 망을 쓸 땐 망사업자 dns를 이용하도록 고정되어 있지만 openvpn을 이용하면 파훼할 수 있습니다.



ovpn 파일에 dns 옵션을 추가하면 됩니다.


예) dns 1.1.1.1 


윈도우/안드로이드도 가능합니다.


원래는 celluar 망에서 dns 주소를 바꿀 순 없지만, openvpn이 이런 기능이 있는 걸 보면 어떻게든 os api로 바꿀 수 있는 방법이 있는 것 같습니다. 그렇다면 해킹도 가능하다는 것인데, 우려되네요.

짧은글 일수록 신중하게.
이선호 07-05
아까도 말씀 드렸지만, 가상 네트워크 어댑터 없이도 Cellular 망에서 MITM이 불가능한건 아니지만, 사례가 없어요.
왜냐구요?
O.S 손봐서 MITM 할정도라면 그냥 O.S 권한 자체와 웹 접속이 가능한 루트가 확보 되어있다는 뜻이고, 사람들 모르게 Open Wifi 열어버리면 되거든요.

이 얘기는 anaphylaxis 때문에 수박, 아보카도 판매 금지해야한다라는 말보다 가능성이 어마어마하게 적은 얘기입니다.
     
2420 07-05
망 상태가 중요한게 아니라 본질적으로 MITM으로 평문암호가 획득 가능한 게 문제라는 반박할 수 없는 절대적인 사실을 차치하고도, 그런 조그만한 가능성 때문에라도 보안을 중시하는 걸 모르시나보네요.

꽤 많은 사람들이 adguard 등으로 dns을 변조해 쓰고 있고, 마음만 먹으면 어떻게 될지야 뭐 하하
          
이선호 07-05
본문에도 언급하셨지만 MITM 걱정하시면 2cpu도 사용하면 안되고, SSL을 절대적으로 신뢰하신다면 NAS에 SSL 인증서 사용해서 사용하시면 됩니다.
               
2420 07-05
ftps나 webdav는 아무 개나소나 인증서나 줘도 먹는데 어떻게 신뢰하냐니까요 ^^7

제가 방금 만든 인증서로 제 nas mitm 해도 믿고 id 보내고 pass는 base64로 인코딩해서 보내는데요?

https야 가능하겠죠.
                    
이선호 07-05
WEBDEV는 일반적으로 잘 안쓰죠.
[SSH, SMB(CIFS), DSM Web 등이 있는데요, 기본적으로 이 포트들은 절대 인터넷으로 노출되면 안됩니다.]
ssh나 cifs야 오픈해놓는 경우는 손에 꼽고 websvc도 사용하면 안된다는 분이 말을 자꾸 바꾸시네요.

ftps가 보안상 문제가 있다는 점에 대해서는 부분적으로 동의하지만 이걸 MITM이랑 엮기에는 너무 나간 부분입니다.
                         
2420 07-05
말 바꾼 적 없습니다.

본문에도 적어놓았듯 2014년이지만 websvc로 시놀로지 나스 전용 랜섬웨어에 해킹당한 사례들도 있고(ssh 꺼도 당함), 비트코인 채굴기가 설치된 사례도 있고, 기본적으로 세상 모든 해커들이 호시탐탐 노리는 (오픈소스 기반) 클로즈드 소스 서비스를 그것도 자신의 내부망에서 돌아가는 놈을 외부에 노출시키는건 누가 봐도 좀 위험하죠.

모든 곳의 아디 비번이 같다는 전제하에 domain 등록정보 이메일과 유출당한 아이디 비밀번호를 대조해 로그인한다던지, ddns서비스 아이디와 유출db를 뒤져 비밀번호를 대조해 찾아낸다던지, 이런 위험성 등등 생각해 보면 수만가지 위험한 요소들이 분명 존재합니다.

그리고, webdav(s), ftp(s), 흔치 않게 cifs, ssh 말고 nas의 파일 서비스로 열어 놓는 포트들이 뭐가 있답니까? 뭐 nfs라도 열어 놓으시는지..
                         
이선호 07-05
취약점 공격은 일정수준 버전 이하의 제품에서만 일어났던 일이고, 심각한 문제이지만 대응만 제대로 했다면 크게 문제가 없었지요.

[모든 곳의 아디 비번이 같다는 전제하에 domain 등록정보 이메일과 유출당한 아이디 비밀번호를 대조해 로그인한다던지, ddns서비스 아이디와 유출db를 뒤져 비밀번호를 대조해 찾아낸다던지, 이런 위험성 등등 생각해 보면 수만가지 위험한 요소들이 분명 존재합니다. ]

이걸 NAS에만 도입하는 이유가 궁금하다는겁니다. paypal 계정이나 은행계정(국내 제외)을 털면 털었지 구독서비스가 들어가있는 거의 모든 웹시스템에 문제가 되는건데 NAS만 특정지어 "절대"쓰면 안된다라고 얘기를 하시는지 궁금하다는겁니다.
그리고 망이 원천적으로 분리가 되어있다면 외부에서 내부망 해킹하는건 절대적으로 불가능합니다. 그나마도 해킹당하는게 내외부망 자료교환체계인데 기업들이 광덕산님보다 몰라서 쓰는게 아닙니다.
                         
2420 07-05
비트코인 마이너는 최신 DSM도 걸렸던 문제고, 망분리는 전혀 언급한 적이 없는데요?
그리고 은행은 공인인증서가 있어야 이체가 가능하고 paypal은 기존 접속 안하던 ip에서는 왠만하면 2fa 하지만 시놀로지는 아이디 비밀번호만 뚫리면 죄다 자료가 해킹당하니까요.
                         
이선호 07-05
외부망용 id와 폴더를 따로 만들면 해결될 문제입니다.
글 끝까지 안읽으시는데, 은행계정은 (국내제외)라고 분명히 기재 하였습니다.

방법이 있는데도 무조건 안된다고  싸잡아서 얘기하는 심보는 무슨 심보인가요?
그리고 Linux Based나 NT Based 운영체제는 취약점이 없는줄 아시나봅니다. 푸하하
                         
2420 07-05
그렇다면야 boa 같은 요즘 해외 은행도 다 2fa 합니다.

비트코인 마이너 찾아보니 취약점은 9월 발견, 1월부터 해커 공격, 2월에 시놀측에서 패치했네요.



이런 운영체제를 믿고 wan에 방치한다구요? 최신 보안 업데이트 해도 채굴당하는 그런 운영체제 잘도 wan에 개방하겠습니다.

참고로 두 (랜섬, 비트) 해킹 다 dsm의 웹페이지 cgi 취약점으로 발생한 해킹입니다. 웹 ui만 노출시켜도 걸린다 이뜻입니다.


NAS 장비를 감염시킨 작업은 연구원들은 악성코드에 감염된 NAS 장비는 지난해 9월 안드레아 패브리지 보안연구원이 발견해 낸 공개된 취약점을 악용됐다. 이에 대해 시놀로지측은 2월부터 공격을 차단하기 위해 DSM 업데이트를 배포한 바 있다.
http://m.zdnet.co.kr/news_view.asp?article_id=20140617093030#imadnews
                         
이선호 07-05
네 그 잘난 2fa 해도, 부정거래 많이 발생합니다.
paypal이 업계 최소 수준이라고 해도 부정거래 비율이 0.32%입니다.
아무렴 Fed.나 외국보안시스템 회사들이 광덕산님보다 모를까요.
                         
2420 07-05
그래서 어쩌라는 거냐구요 ㅎㅎ

2fa 해도 뚫리면 2fa 할 필요 없나요?

WEB GUI의 9월 발견된 취약점을 1월에 해커가 공격하고 2월에 패치해 주는 회사의 web gui를 wan에 노출시켜라 이 말씀이세요?
                         
이선호 07-05
NT나 Linux Based O.S는 취약점 발견 하루만에 고쳐주던가요?
                         
2420 07-05
저런 어이없는 취약점이 잘 없고 패치도 곧잘 되어서요. 하하

제 논리 오류를 지적하시더니 그쪽이 논리 오류가 너무 심해 참을 수가 없네요.

Nt나 linux 취약점과 dsm이 제대로 패치 안한 취약점이랑 무슨 상관이죠?

허수아비 공격에, 피장파장의 오류, 무지에 의한 논증까지! 3종세트 대단합니다.

저도 논리오류 없는 사람 아니지만 남 논리오류 지적하며 자기가 버젓히 논리오류 저지르는 건 참...
양시열 07-05
안드로이드 공유기 VPN접속시 DNS설정가능한데 차이가 있나요?
     
2420 07-05
이 방법은 모든 트래픽이 vpn 라우터를 경유하지 않는다는 차이점이 있습니다.
SiCMOS 07-05
Strongswan에도 해당 기능이 있어서 pi-hole 올리고 거기로 dns 붙여서 사용중입니다 ㅎㅎ
광고 막히고 좋네요
병따개님 07-05
삼성폰이면 adhell을 설치하면 dns 바꿀수 있는데 바꾸면 삼성페이가 작동을 안하네요
     
2420 07-05
그런 애드블락 서비스 매우 위험합니다...
HenryMin 07-06
이런저런걸 다 떠나서. 기본적으로 해커들입장에선 일반사용자들의 NAS 엔 별볼일 없는 자료들 뿐입니다. 개인사용자의 나스뿐만아니라 시스템들을 해킹하는일은 잘 없죠. 설사 뚫린다 하더라도 어지간히 그분은 운이 없는 겁니다. 그냥 단순히 ISP 업체 연락해서 해킹당했다고 하면 기본적인 조치 해주니까 너무 겁먹지 마시고 사용하셔도 무방할겁니다. 정 걱정되신다면 기본포트들을 포트포워딩하셔서 사용하시는 걸로도 충분합니다. 좀전에 말씀드렸다시피 개인사용자 시스템 해킹은 거의 하지 않으니까요....
     
2420 07-08
시놀로지 웹 서비스 보안 취약점으로 개인사용자 NAS에 비트코인 채굴기와 랜섬웨어가 창궐한 적이 있습니다.

별 볼 일 없지 않습니다.
          
김강호 07-08
시놀로지는 기업용으로도 나가는 물건이죠
윈도우 대상 악성코드가 나도는 이유와 똑같은 이유입니다.




NAS
제목Page 7/159
2014-04   2301636   회원K
05-29   104290   회원K
07-09   2416   Redmilk
07-09   1139   Galvanizer
07-08   842   은우마스터
07-08   875   raytronix
07-07   599   쭈노
07-06   993   Galvanizer
07-05   1379   2420
07-08   612   증번들
07-05   1766   2420
07-04   1296   overainbow
07-04   1540   닥터스테인
07-04   772   DingDong
07-04   1153   Redmilk
07-03   1454   Redmilk
07-02   1052   Smile
07-02   997   미우지시언
07-02   1396   Redmilk
07-01   1380   쌍cpu
07-01   936   Smile
06-30   1461   Smile