[GTER] Redirecionamento de portas no NAT é perigoso?
Fernando Ulisses dos Santos
fernando at bluesolutions.com.br
Thu Oct 4 09:52:58 -03 2012
Kurt,
No que conheço, na camada de rede, no protocolo de roteamento, no NAT
(ou PAT como alguns chamam), não tem nenhum risco.
O perigo aí está na camada de aplicação, digamos que esse servidor Web
tem uma URL: /sistema, onde os usuários precisam acessar, mas tem
também uma URL: /admin, com senha fraca ou com vulnerabilidade a ser
explorada, o atacante teria livre acesso para tentar a vontade, até
tentar quebrar a senha por força bruta.
Uma boa prática, quando existir um servidor fazendo Firewall/Proxy, é
levantar um servidor Web e fazer um redirecionamento só da aplicação, o
Apache faz isso com a diretiva ProxyPass, por exemplo:
ProxyPass /sistema http://192.168.0.10/sistema
E pode acessar pelo http://200.200.200.200/sistema
Alguém rodando um Port Scan vai encontrar a princípio na porta 80 o
Apache, e no máximo, se souber a URL da aplicação, vai encontrar a
aplicação, e não as interfaces administrativas e outras aplicações de
uso interno.
O próximo passo seria ter um Web Application Firewall na frente da
aplicação.
Fernando Ulisses dos Santos
Blue Solutions - Soluções em TI
19-3321-9068 / 19-3551-3898
Em Qui 04 Out 2012 00:58:03 BRT, Kurt Kraut escreveu:
> Olá,
>
>
> Pela segunda vez ouço de sysadmins de clientes uma afirmação que me deixou
> surpreso e preocupado: que o redirecionamento de portas em um roteador que
> faz o NAT é perigoso, recurso este encontrado até em roteadores wireless
> SOHO. Em um exemplo mais ilustrativo:
>
> 200.200.200.200:8888 (roteador) -> 192.168.0.200:80 (servidor web)
>
> Ou seja, que fazer com o IP público válido na porta 80 seja redirecionado
> para um IP local na mesma ou outra porta expõe a rede. O que deixaram a
> entender é que esse caminho da borda até a máquina local não é restrito e
> que alguns ataques podem burlar isso, fazendo não só que outras portas do
> mesmo IP local sejam acessadas como outras máquinas da rede sejam também
> acessadas.
>
> Isso procede? Qual o real risco desse procedimento? O que é necessário ser
> feito para explorar essa falha?
>
>
> Abraços,
>
>
> Kurt Kraut
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list