[GTER] Redirecionamento de portas no NAT é perigoso?

Marcos Pitanga marcos.pitanga at gmail.com
Thu Oct 4 18:57:50 -03 2012 

Já ouviram falam de ataque cliente side mais payload com shell reverso?

Marcos Pitanga

Sent from my iPad

Em 04/10/2012, às 18:16, Lend <lend.sp at gmail.com> escreveu:

> Um exemplo simples
> 
> iptables -t nat -A POSROUTING -j MASQUERADE
> 
> ai Jaum estudou redes e diz... não tem problema o invasor só chegaria nas
> maquinas internas se estivesse no mesmo barramento do link de internet para
> conseguir executar o route add...
> 
> mas ai o invasor que usa o mesmo provedor configura manualmente sua mascara
> de rede (pra variar o provedor deixa...) e faz um script para pescar redes
> internas por ai....
> 
> Se redirecionamentos inclusive de portas não forem feitos corretamente para
> redirecionar somente o que tem que redirecionar existe risco sim.
> 
> Eu não posso falar muito sobre, senão vou acabar criando monstros !
> 
> 
> 
> Em 4 de outubro de 2012 08:05, Douglas Fischer
> <fischerdouglas at gmail.com>escreveu:
> 
>> Na minha opinião, uma asneira sem tamanho...
>> 
>> Penso que essa técnica de usar portas altas tem se popularizado com o uso
>> de unix-like boxes como elemento de borda em links ADSL não corporativos.
>>  -Todas as operadora que eu tenho notícia bloqueiam serviços básicos com
>> HTTP, HTTPS, POP, SMTP, DNS, TelNet.
>>  -Essa política varia de operadora para operadora, umas arroxam um pouco
>> mais(cheguei a pegar porta 500 bloqueada), outras bloqueiam só o básicão.
>> 
>> O cliente queria colocar um "servidor de internet" na rede, mas contratava
>> um ADSLzinho mequetrefe para isso. Ip válido? Só o do PPP. Além dar portas
>> básicas bloqueadas.
>>  -Com isso, os howto-doers criavam os NATs de portas altas para as
>> servidores internos.
>>     P.S.: Some a isso um IP dinâmico, um DynDNS e vira o <ironia>sonho de
>> consumo</ironia> de qualquer administrado de redes.
>> 
>> 
>> A única, leve e falha, explicação para essa técnica é que para economizar
>> tempo no brute-force de varredura por Syn, alguns atacadores varres só as
>> portas baixas (até 1024).
>> 
>> 
>> 
>> Complementando:
>> O principal contraponto dessa técnica é quando maquinas internas vão
>> acessar servidores internos, e o DNS resolve o endereço externo.
>> Grande parte dos Firewalls que se prezem hoje em dia possuem o recursos
>> como DNS_Re-write(e similares), reescrevendo a resposta DNS para o host
>> interno, permitido o acesso direto ao servidor interno, desonerando o
>> firewall.
>>   Se o IP externo responde na porta 8080, e verdadeiro servidor
>> real(interno) responde na porta 80... Pronto, está armada a confusão.
>> 
>> 
>> E por esse motivo já escutei várias vezes "Esse tal de DNS
>> Doctoring(Re-Write) é um porcaria."
>> 
>> 
>> Em 4 de outubro de 2012 00:58, Kurt Kraut <listas at kurtkraut.net> escreveu:
>> 
>>> Olá,
>>> 
>>> 
>>> Pela segunda vez ouço de sysadmins de clientes uma afirmação que me
>> deixou
>>> surpreso e preocupado: que o redirecionamento de portas em um roteador
>> que
>>> faz o NAT é perigoso, recurso este encontrado até em roteadores wireless
>>> SOHO. Em um exemplo mais ilustrativo:
>>> 
>>> 200.200.200.200:8888 (roteador) -> 192.168.0.200:80 (servidor web)
>>> 
>>> Ou seja, que fazer com o IP público válido na porta 80 seja redirecionado
>>> para um IP local na mesma ou outra porta expõe a rede. O que deixaram a
>>> entender é que esse caminho da borda até a máquina local não é restrito e
>>> que alguns ataques podem burlar isso, fazendo não só que outras portas do
>>> mesmo IP local sejam acessadas como outras máquinas da rede sejam também
>>> acessadas.
>>> 
>>> Isso procede? Qual o real risco desse procedimento? O que é necessário
>> ser
>>> feito para explorar essa falha?
>>> 
>>> 
>>> Abraços,
>>> 
>>> 
>>> Kurt Kraut
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
>> 
>> 
>> --
>> Douglas Fernando Fischer
>> Engº de Controle e Automação
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> 
> 
> -- 
> 
> 
> 
> 
> Leandro Souza
> (11)6716-2967 - OI
> (11)7188-1172 - VIVO
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list