[GTER] Redirecionamento de portas no NAT é perigoso?

Fernando Ulisses dos Santos fernando at bluesolutions.com.br
Thu Oct 4 09:52:58 -03 2012 

Kurt,

No que conheço, na camada de rede, no protocolo de roteamento, no NAT 
(ou PAT como alguns chamam), não tem nenhum risco.

O perigo aí está na camada de aplicação, digamos que esse servidor Web 
tem uma URL: /sistema, onde os usuários precisam acessar, mas tem 
também uma URL: /admin, com senha fraca ou com vulnerabilidade a ser 
explorada, o atacante teria livre acesso para tentar a vontade, até 
tentar quebrar a senha por força bruta.

Uma boa prática, quando existir um servidor fazendo Firewall/Proxy, é 
levantar um servidor Web e fazer um redirecionamento só da aplicação, o 
Apache faz isso com a diretiva ProxyPass, por exemplo:
ProxyPass /sistema http://192.168.0.10/sistema

E pode acessar pelo http://200.200.200.200/sistema

Alguém rodando um Port Scan vai encontrar a princípio na porta 80 o 
Apache, e no máximo, se souber a URL da aplicação, vai encontrar a 
aplicação, e não as interfaces administrativas e outras aplicações de 
uso interno.

O próximo passo seria ter um Web Application Firewall na frente da 
aplicação.

Fernando Ulisses dos Santos
Blue Solutions - Soluções em TI
19-3321-9068 / 19-3551-3898


Em Qui 04 Out 2012 00:58:03 BRT, Kurt Kraut escreveu:
> Olá,
>
>
> Pela segunda vez ouço de sysadmins de clientes uma afirmação que me deixou
> surpreso e preocupado: que o redirecionamento de portas em um roteador que
> faz o NAT é perigoso, recurso este encontrado até em roteadores wireless
> SOHO. Em um exemplo mais ilustrativo:
>
> 200.200.200.200:8888 (roteador) -> 192.168.0.200:80 (servidor web)
>
> Ou seja, que fazer com o IP público válido na porta 80 seja redirecionado
> para um IP local na mesma ou outra porta expõe a rede. O que deixaram a
> entender é que esse caminho da borda até a máquina local não é restrito e
> que alguns ataques podem burlar isso, fazendo não só que outras portas do
> mesmo IP local sejam acessadas como outras máquinas da rede sejam também
> acessadas.
>
> Isso procede? Qual o real risco desse procedimento? O que é necessário ser
> feito para explorar essa falha?
>
>
> Abraços,
>
>
> Kurt Kraut
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list