[GTER] Redirecionamento de portas no NAT é perigoso?
Lend
lend.sp at gmail.com
Thu Oct 4 18:16:30 -03 2012
Um exemplo simples
iptables -t nat -A POSROUTING -j MASQUERADE
ai Jaum estudou redes e diz... não tem problema o invasor só chegaria nas
maquinas internas se estivesse no mesmo barramento do link de internet para
conseguir executar o route add...
mas ai o invasor que usa o mesmo provedor configura manualmente sua mascara
de rede (pra variar o provedor deixa...) e faz um script para pescar redes
internas por ai....
Se redirecionamentos inclusive de portas não forem feitos corretamente para
redirecionar somente o que tem que redirecionar existe risco sim.
Eu não posso falar muito sobre, senão vou acabar criando monstros !
Em 4 de outubro de 2012 08:05, Douglas Fischer
<fischerdouglas at gmail.com>escreveu:
> Na minha opinião, uma asneira sem tamanho...
>
> Penso que essa técnica de usar portas altas tem se popularizado com o uso
> de unix-like boxes como elemento de borda em links ADSL não corporativos.
> -Todas as operadora que eu tenho notícia bloqueiam serviços básicos com
> HTTP, HTTPS, POP, SMTP, DNS, TelNet.
> -Essa política varia de operadora para operadora, umas arroxam um pouco
> mais(cheguei a pegar porta 500 bloqueada), outras bloqueiam só o básicão.
>
> O cliente queria colocar um "servidor de internet" na rede, mas contratava
> um ADSLzinho mequetrefe para isso. Ip válido? Só o do PPP. Além dar portas
> básicas bloqueadas.
> -Com isso, os howto-doers criavam os NATs de portas altas para as
> servidores internos.
> P.S.: Some a isso um IP dinâmico, um DynDNS e vira o <ironia>sonho de
> consumo</ironia> de qualquer administrado de redes.
>
>
> A única, leve e falha, explicação para essa técnica é que para economizar
> tempo no brute-force de varredura por Syn, alguns atacadores varres só as
> portas baixas (até 1024).
>
>
>
> Complementando:
> O principal contraponto dessa técnica é quando maquinas internas vão
> acessar servidores internos, e o DNS resolve o endereço externo.
> Grande parte dos Firewalls que se prezem hoje em dia possuem o recursos
> como DNS_Re-write(e similares), reescrevendo a resposta DNS para o host
> interno, permitido o acesso direto ao servidor interno, desonerando o
> firewall.
> Se o IP externo responde na porta 8080, e verdadeiro servidor
> real(interno) responde na porta 80... Pronto, está armada a confusão.
>
>
> E por esse motivo já escutei várias vezes "Esse tal de DNS
> Doctoring(Re-Write) é um porcaria."
>
>
> Em 4 de outubro de 2012 00:58, Kurt Kraut <listas at kurtkraut.net> escreveu:
>
> > Olá,
> >
> >
> > Pela segunda vez ouço de sysadmins de clientes uma afirmação que me
> deixou
> > surpreso e preocupado: que o redirecionamento de portas em um roteador
> que
> > faz o NAT é perigoso, recurso este encontrado até em roteadores wireless
> > SOHO. Em um exemplo mais ilustrativo:
> >
> > 200.200.200.200:8888 (roteador) -> 192.168.0.200:80 (servidor web)
> >
> > Ou seja, que fazer com o IP público válido na porta 80 seja redirecionado
> > para um IP local na mesma ou outra porta expõe a rede. O que deixaram a
> > entender é que esse caminho da borda até a máquina local não é restrito e
> > que alguns ataques podem burlar isso, fazendo não só que outras portas do
> > mesmo IP local sejam acessadas como outras máquinas da rede sejam também
> > acessadas.
> >
> > Isso procede? Qual o real risco desse procedimento? O que é necessário
> ser
> > feito para explorar essa falha?
> >
> >
> > Abraços,
> >
> >
> > Kurt Kraut
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
Leandro Souza
(11)6716-2967 - OI
(11)7188-1172 - VIVO
More information about the gter
mailing list