Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 1 subscriber
  • Views 21079 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

US Dept of Defense integrated into L2TP VPN?

SalishSwede
My carrier, Sprint is using legacy DoD addresses for cell phone connections but there appears to be something wrong with the VPN functionality... see posts later in this thread.

I'm connecting my smartphone to my local home net using L2TP via the Sophos UTM.

I'm reviewing the firewall logs and notice traffic on port 443 being blocked between two addresses:  
Source:

21.194.27.36  Dept of Defense

Dest:

50.115.125.93   [URL="http://mxtoolbox.com/SuperTool.aspx?action=ptr%3a50.115.125.93&run=toolpage#"]50.115.125.93.static.westdc.net  ??
[/URL]

              69.171.245.49   Facebook

Here's what I can find on the source:
[SIZE=2]Location[/SIZE]                     [SIZE=2]  UNITED STATES, OHIO, COLUMBUS[/SIZE]                                                       [SIZE=2]Latitude, Longitude[/SIZE]                     [SIZE=2]39.96638, -83.01277 (39°57'59"S   -83°0'46"E)[/SIZE]                                                       [SIZE=2]Connection through[/SIZE]                     [SIZE=2]DOD NETWORK INFORMATION CENTER[/SIZE]                                                       [SIZE=2]Local Time[/SIZE]                     [SIZE=2]04 Dec, 2013 05:17 PM (UTC -05:00)[/SIZE]                                                       [SIZE=2]Domain[/SIZE]                     [SIZE=2]NIC.MIL[/SIZE]
Here are a couple of lines from the logs:

[FONT=monospace]14:08:16 Packet filter rule #6 L2TP 21.194.27.36 : 39669 → 50.115.125.93 : 443 [RST] len=40 ttl=63 tos=0x00 srcmac=0:0:2f[:D]2:32:f7
[/FONT]
[FONT=monospace]14:08:19 Packet filter rule #6 L2TP 21.194.27.36 : 39669 → 50.115.125.93 : 443 [RST] len=40 ttl=63 tos=0x00 srcmac=0:0:2f[:D]2:32:f7
[/FONT]
[FONT=monospace]14:08:19 Packet filter rule #6 L2TP 21.194.27.36 : 38247 → 69.171.245.49 : 443 [ACK PSH] len=130 ttl=63 tos=0x00 srcmac=0:0:2f[:D]2:32:f7
[/FONT]
[FONT=monospace]14:08:26 Packet filter rule #6 L2TP 21.194.27.36 : 39669 → 50.115.125.93 : 443 [RST] len=40 ttl=63 tos=0x00 srcmac=0:0:2f[:D]2:32:f7
[/FONT]
 
Note the L2TP is the traffic being parsed. 

Could I get some fresh eyes on this?

Thanks,

Doug


This thread was automatically locked due to age.
Parents
  • 0
    Duogga,

    If you are seeing a DoD IP Address tied to a MAC in your logs, I doubt it's actually the DoD.

    I've heard of instances (may have been referenced on this forum) where smaller Cell Carriers and/or ISP's, needing Carrier Grade NAT(CGN) either due to inability or unwillingness to purchase netblocks from IANA and not wanting to use the traditional 10.0.0.0/8, have resorted to 'borrowing' various /8 subnets that are they're reasonably confident aren't in use globally, such as the DoD.

    I think in this forum some people noticed one Cell provider using IP's assigned to the UK's version of the DoD. That you're seeing a MAC address of hardware from a company specializing in last mile ATM/TDM/Cell access devices, I wonder if perhaps your cell carrier is using CGN in combo with a borrowed netblock?

    From what I understand about DoD and NSA practices regarding electronic tapping, the taps used are virtually invisible as they aren't "in the way" so to speak. The technique they use is similar to port mirroring on higher end switches. Port Mirroing on a switch basically sends a copy of all traffic on a specific interface to another interface. In typical usage, the listening device is an IDS scanner and it listens for suspicious traffic. In the case of DoD//NSA, they do this at several key routing points on the global Internet and instead of IDS, they use intercept boxes that copy and forward anything of interest. Encrypted traffic goes off to their datacentres for decryption.

    Basically invisible, and doesn't affect traffic at all.
  • 0 in reply to TheDrew
    Duogga,

    If you are seeing a DoD IP Address tied to a MAC in your logs, I doubt it's actually the DoD.

    I've heard of instances (may have been referenced on this forum) where smaller Cell Carriers and/or ISP's, needing Carrier Grade NAT(CGN) either due to inability or unwillingness to purchase netblocks from IANA and not wanting to use the traditional 10.0.0.0/8, have resorted to 'borrowing' various /8 subnets that are they're reasonably confident aren't in use globally, such as the DoD.

    I think in this forum some people noticed one Cell provider using IP's assigned to the UK's version of the DoD. That you're seeing a MAC address of hardware from a company specializing in last mile ATM/TDM/Cell access devices, I wonder if perhaps your cell carrier is using CGN in combo with a borrowed netblock?

    From what I understand about DoD and NSA practices regarding electronic tapping, the taps used are virtually invisible as they aren't "in the way" so to speak. The technique they use is similar to port mirroring on higher end switches. Port Mirroing on a switch basically sends a copy of all traffic on a specific interface to another interface. In typical usage, the listening device is an IDS scanner and it listens for suspicious traffic. In the case of DoD//NSA, they do this at several key routing points on the global Internet and instead of IDS, they use intercept boxes that copy and forward anything of interest. Encrypted traffic goes off to their datacentres for decryption.

    Basically invisible, and doesn't affect traffic at all.


    I agree with the above.  If the .gov is tapping your traffic, you certainly won't "see" them [:)]
Reply
  • 0 in reply to TheDrew
    Duogga,

    If you are seeing a DoD IP Address tied to a MAC in your logs, I doubt it's actually the DoD.

    I've heard of instances (may have been referenced on this forum) where smaller Cell Carriers and/or ISP's, needing Carrier Grade NAT(CGN) either due to inability or unwillingness to purchase netblocks from IANA and not wanting to use the traditional 10.0.0.0/8, have resorted to 'borrowing' various /8 subnets that are they're reasonably confident aren't in use globally, such as the DoD.

    I think in this forum some people noticed one Cell provider using IP's assigned to the UK's version of the DoD. That you're seeing a MAC address of hardware from a company specializing in last mile ATM/TDM/Cell access devices, I wonder if perhaps your cell carrier is using CGN in combo with a borrowed netblock?

    From what I understand about DoD and NSA practices regarding electronic tapping, the taps used are virtually invisible as they aren't "in the way" so to speak. The technique they use is similar to port mirroring on higher end switches. Port Mirroing on a switch basically sends a copy of all traffic on a specific interface to another interface. In typical usage, the listening device is an IDS scanner and it listens for suspicious traffic. In the case of DoD//NSA, they do this at several key routing points on the global Internet and instead of IDS, they use intercept boxes that copy and forward anything of interest. Encrypted traffic goes off to their datacentres for decryption.

    Basically invisible, and doesn't affect traffic at all.


    I agree with the above.  If the .gov is tapping your traffic, you certainly won't "see" them [:)]
Children
  • 0 in reply to BrucekConvergent
    We have data.  I'd like to understand what it means.  Using DoD addresses inside a private address space is not completely irrational, particularly since you have DoD assets now residing within most major telecom datacenters.  This addressing might be an amusing scheme by NetOps and/or a defensive legal manoeuvre to allow internal resources to know when traffic was passing between corporate and government assets.
    [URL="http://www.astaro.org/gateway-products/vpn-site-site-remote-access/47739-when-will-utm-update-current-strongswan-build.html"]
    Seriously, I really appreciate everyone's input.  [I can't change formatting... grrrrr]
    [/URL]