[GTER] Redirecionamento de portas no NAT é perigoso?
Douglas Fischer
fischerdouglas at gmail.com
Thu Oct 4 08:05:24 -03 2012
Na minha opinião, uma asneira sem tamanho...
Penso que essa técnica de usar portas altas tem se popularizado com o uso
de unix-like boxes como elemento de borda em links ADSL não corporativos.
-Todas as operadora que eu tenho notícia bloqueiam serviços básicos com
HTTP, HTTPS, POP, SMTP, DNS, TelNet.
-Essa política varia de operadora para operadora, umas arroxam um pouco
mais(cheguei a pegar porta 500 bloqueada), outras bloqueiam só o básicão.
O cliente queria colocar um "servidor de internet" na rede, mas contratava
um ADSLzinho mequetrefe para isso. Ip válido? Só o do PPP. Além dar portas
básicas bloqueadas.
-Com isso, os howto-doers criavam os NATs de portas altas para as
servidores internos.
P.S.: Some a isso um IP dinâmico, um DynDNS e vira o <ironia>sonho de
consumo</ironia> de qualquer administrado de redes.
A única, leve e falha, explicação para essa técnica é que para economizar
tempo no brute-force de varredura por Syn, alguns atacadores varres só as
portas baixas (até 1024).
Complementando:
O principal contraponto dessa técnica é quando maquinas internas vão
acessar servidores internos, e o DNS resolve o endereço externo.
Grande parte dos Firewalls que se prezem hoje em dia possuem o recursos
como DNS_Re-write(e similares), reescrevendo a resposta DNS para o host
interno, permitido o acesso direto ao servidor interno, desonerando o
firewall.
Se o IP externo responde na porta 8080, e verdadeiro servidor
real(interno) responde na porta 80... Pronto, está armada a confusão.
E por esse motivo já escutei várias vezes "Esse tal de DNS
Doctoring(Re-Write) é um porcaria."
Em 4 de outubro de 2012 00:58, Kurt Kraut <listas at kurtkraut.net> escreveu:
> Olá,
>
>
> Pela segunda vez ouço de sysadmins de clientes uma afirmação que me deixou
> surpreso e preocupado: que o redirecionamento de portas em um roteador que
> faz o NAT é perigoso, recurso este encontrado até em roteadores wireless
> SOHO. Em um exemplo mais ilustrativo:
>
> 200.200.200.200:8888 (roteador) -> 192.168.0.200:80 (servidor web)
>
> Ou seja, que fazer com o IP público válido na porta 80 seja redirecionado
> para um IP local na mesma ou outra porta expõe a rede. O que deixaram a
> entender é que esse caminho da borda até a máquina local não é restrito e
> que alguns ataques podem burlar isso, fazendo não só que outras portas do
> mesmo IP local sejam acessadas como outras máquinas da rede sejam também
> acessadas.
>
> Isso procede? Qual o real risco desse procedimento? O que é necessário ser
> feito para explorar essa falha?
>
>
> Abraços,
>
>
> Kurt Kraut
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the gter
mailing list