[GTER] Redirecionamento de portas no NAT é perigoso?

Douglas Fischer fischerdouglas at gmail.com
Thu Oct 4 08:05:24 -03 2012


Na minha opinião, uma asneira sem tamanho...

Penso que essa técnica de usar portas altas tem se popularizado com o uso
de unix-like boxes como elemento de borda em links ADSL não corporativos.
  -Todas as operadora que eu tenho notícia bloqueiam serviços básicos com
HTTP, HTTPS, POP, SMTP, DNS, TelNet.
  -Essa política varia de operadora para operadora, umas arroxam um pouco
mais(cheguei a pegar porta 500 bloqueada), outras bloqueiam só o básicão.

O cliente queria colocar um "servidor de internet" na rede, mas contratava
um ADSLzinho mequetrefe para isso. Ip válido? Só o do PPP. Além dar portas
básicas bloqueadas.
  -Com isso, os howto-doers criavam os NATs de portas altas para as
servidores internos.
     P.S.: Some a isso um IP dinâmico, um DynDNS e vira o <ironia>sonho de
consumo</ironia> de qualquer administrado de redes.


A única, leve e falha, explicação para essa técnica é que para economizar
tempo no brute-force de varredura por Syn, alguns atacadores varres só as
portas baixas (até 1024).



Complementando:
O principal contraponto dessa técnica é quando maquinas internas vão
acessar servidores internos, e o DNS resolve o endereço externo.
Grande parte dos Firewalls que se prezem hoje em dia possuem o recursos
como DNS_Re-write(e similares), reescrevendo a resposta DNS para o host
interno, permitido o acesso direto ao servidor interno, desonerando o
firewall.
   Se o IP externo responde na porta 8080, e verdadeiro servidor
real(interno) responde na porta 80... Pronto, está armada a confusão.


E por esse motivo já escutei várias vezes "Esse tal de DNS
Doctoring(Re-Write) é um porcaria."


Em 4 de outubro de 2012 00:58, Kurt Kraut <listas at kurtkraut.net> escreveu:

> Olá,
>
>
> Pela segunda vez ouço de sysadmins de clientes uma afirmação que me deixou
> surpreso e preocupado: que o redirecionamento de portas em um roteador que
> faz o NAT é perigoso, recurso este encontrado até em roteadores wireless
> SOHO. Em um exemplo mais ilustrativo:
>
> 200.200.200.200:8888 (roteador) -> 192.168.0.200:80 (servidor web)
>
> Ou seja, que fazer com o IP público válido na porta 80 seja redirecionado
> para um IP local na mesma ou outra porta expõe a rede. O que deixaram a
> entender é que esse caminho da borda até a máquina local não é restrito e
> que alguns ataques podem burlar isso, fazendo não só que outras portas do
> mesmo IP local sejam acessadas como outras máquinas da rede sejam também
> acessadas.
>
> Isso procede? Qual o real risco desse procedimento? O que é necessário ser
> feito para explorar essa falha?
>
>
> Abraços,
>
>
> Kurt Kraut
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list