Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 1 subscriber
  • Views 21079 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

US Dept of Defense integrated into L2TP VPN?

SalishSwede
My carrier, Sprint is using legacy DoD addresses for cell phone connections but there appears to be something wrong with the VPN functionality... see posts later in this thread.

I'm connecting my smartphone to my local home net using L2TP via the Sophos UTM.

I'm reviewing the firewall logs and notice traffic on port 443 being blocked between two addresses:  
Source:

21.194.27.36  Dept of Defense

Dest:

50.115.125.93   [URL="http://mxtoolbox.com/SuperTool.aspx?action=ptr%3a50.115.125.93&run=toolpage#"]50.115.125.93.static.westdc.net  ??
[/URL]

              69.171.245.49   Facebook

Here's what I can find on the source:
[SIZE=2]Location[/SIZE]                     [SIZE=2]  UNITED STATES, OHIO, COLUMBUS[/SIZE]                                                       [SIZE=2]Latitude, Longitude[/SIZE]                     [SIZE=2]39.96638, -83.01277 (39°57'59"S   -83°0'46"E)[/SIZE]                                                       [SIZE=2]Connection through[/SIZE]                     [SIZE=2]DOD NETWORK INFORMATION CENTER[/SIZE]                                                       [SIZE=2]Local Time[/SIZE]                     [SIZE=2]04 Dec, 2013 05:17 PM (UTC -05:00)[/SIZE]                                                       [SIZE=2]Domain[/SIZE]                     [SIZE=2]NIC.MIL[/SIZE]
Here are a couple of lines from the logs:

[FONT=monospace]14:08:16 Packet filter rule #6 L2TP 21.194.27.36 : 39669 → 50.115.125.93 : 443 [RST] len=40 ttl=63 tos=0x00 srcmac=0:0:2f[:D]2:32:f7
[/FONT]
[FONT=monospace]14:08:19 Packet filter rule #6 L2TP 21.194.27.36 : 39669 → 50.115.125.93 : 443 [RST] len=40 ttl=63 tos=0x00 srcmac=0:0:2f[:D]2:32:f7
[/FONT]
[FONT=monospace]14:08:19 Packet filter rule #6 L2TP 21.194.27.36 : 38247 → 69.171.245.49 : 443 [ACK PSH] len=130 ttl=63 tos=0x00 srcmac=0:0:2f[:D]2:32:f7
[/FONT]
[FONT=monospace]14:08:26 Packet filter rule #6 L2TP 21.194.27.36 : 39669 → 50.115.125.93 : 443 [RST] len=40 ttl=63 tos=0x00 srcmac=0:0:2f[:D]2:32:f7
[/FONT]
 
Note the L2TP is the traffic being parsed. 

Could I get some fresh eyes on this?

Thanks,

Doug


This thread was automatically locked due to age.
Parents
  • 0
    Duogga,

    If you are seeing a DoD IP Address tied to a MAC in your logs, I doubt it's actually the DoD.

    I've heard of instances (may have been referenced on this forum) where smaller Cell Carriers and/or ISP's, needing Carrier Grade NAT(CGN) either due to inability or unwillingness to purchase netblocks from IANA and not wanting to use the traditional 10.0.0.0/8, have resorted to 'borrowing' various /8 subnets that are they're reasonably confident aren't in use globally, such as the DoD.

    I think in this forum some people noticed one Cell provider using IP's assigned to the UK's version of the DoD. That you're seeing a MAC address of hardware from a company specializing in last mile ATM/TDM/Cell access devices, I wonder if perhaps your cell carrier is using CGN in combo with a borrowed netblock?

    From what I understand about DoD and NSA practices regarding electronic tapping, the taps used are virtually invisible as they aren't "in the way" so to speak. The technique they use is similar to port mirroring on higher end switches. Port Mirroing on a switch basically sends a copy of all traffic on a specific interface to another interface. In typical usage, the listening device is an IDS scanner and it listens for suspicious traffic. In the case of DoD//NSA, they do this at several key routing points on the global Internet and instead of IDS, they use intercept boxes that copy and forward anything of interest. Encrypted traffic goes off to their datacentres for decryption.

    Basically invisible, and doesn't affect traffic at all.
  • 0 in reply to TheDrew
    That makes a lot of sense.
    The one things that doesn't is the foreign/unknown MAC address being seen by the UTM.  This means there's either hardware on my physical network that I don't recognise, or someone's tunnelling the Ethernet protocol.  I need to have another look around.  My switch captures all MAC addresses so I'll peek there - I should be able to see on which ports MAC addresses are seen.
Reply
  • 0 in reply to TheDrew
    That makes a lot of sense.
    The one things that doesn't is the foreign/unknown MAC address being seen by the UTM.  This means there's either hardware on my physical network that I don't recognise, or someone's tunnelling the Ethernet protocol.  I need to have another look around.  My switch captures all MAC addresses so I'll peek there - I should be able to see on which ports MAC addresses are seen.
Children
No Data