[GTER] Redirecionamento de portas no NAT é perigoso?

Fernando Ulisses dos Santos fernando at bluesolutions.com.br
Thu Oct 4 19:29:13 -03 2012


Marcos,

Mas aí o problema não é redirecionar a porta, o problema é na 
aplicação, só um WAF pra dar conta e olha lá.

Nosso colega estava falando de redirecionar porta em um ambiente 
pequeno e se teria problema na camada de rede, todo mundo tem noção que 
não existe 100% de segurança, e também não dá pra gastar com segurança 
mais do que em todo o ambiente.

Fernando Ulisses dos Santos
19-3321-9068 / 19-3551-3898


Em Qui 04 Out 2012 18:57:50 BRT, Marcos Pitanga escreveu:
> Já ouviram falam de ataque cliente side mais payload com shell reverso?
>
> Marcos Pitanga
>
> Sent from my iPad
>
> Em 04/10/2012, às 18:16, Lend <lend.sp at gmail.com> escreveu:
>
>> Um exemplo simples
>>
>> iptables -t nat -A POSROUTING -j MASQUERADE
>>
>> ai Jaum estudou redes e diz... não tem problema o invasor só chegaria nas
>> maquinas internas se estivesse no mesmo barramento do link de internet para
>> conseguir executar o route add...
>>
>> mas ai o invasor que usa o mesmo provedor configura manualmente sua mascara
>> de rede (pra variar o provedor deixa...) e faz um script para pescar redes
>> internas por ai....
>>
>> Se redirecionamentos inclusive de portas não forem feitos corretamente para
>> redirecionar somente o que tem que redirecionar existe risco sim.
>>
>> Eu não posso falar muito sobre, senão vou acabar criando monstros !
>>
>>
>>
>> Em 4 de outubro de 2012 08:05, Douglas Fischer
>> <fischerdouglas at gmail.com>escreveu:
>>
>>> Na minha opinião, uma asneira sem tamanho...
>>>
>>> Penso que essa técnica de usar portas altas tem se popularizado com o uso
>>> de unix-like boxes como elemento de borda em links ADSL não corporativos.
>>>   -Todas as operadora que eu tenho notícia bloqueiam serviços básicos com
>>> HTTP, HTTPS, POP, SMTP, DNS, TelNet.
>>>   -Essa política varia de operadora para operadora, umas arroxam um pouco
>>> mais(cheguei a pegar porta 500 bloqueada), outras bloqueiam só o básicão.
>>>
>>> O cliente queria colocar um "servidor de internet" na rede, mas contratava
>>> um ADSLzinho mequetrefe para isso. Ip válido? Só o do PPP. Além dar portas
>>> básicas bloqueadas.
>>>   -Com isso, os howto-doers criavam os NATs de portas altas para as
>>> servidores internos.
>>>      P.S.: Some a isso um IP dinâmico, um DynDNS e vira o <ironia>sonho de
>>> consumo</ironia> de qualquer administrado de redes.
>>>
>>>
>>> A única, leve e falha, explicação para essa técnica é que para economizar
>>> tempo no brute-force de varredura por Syn, alguns atacadores varres só as
>>> portas baixas (até 1024).
>>>
>>>
>>>
>>> Complementando:
>>> O principal contraponto dessa técnica é quando maquinas internas vão
>>> acessar servidores internos, e o DNS resolve o endereço externo.
>>> Grande parte dos Firewalls que se prezem hoje em dia possuem o recursos
>>> como DNS_Re-write(e similares), reescrevendo a resposta DNS para o host
>>> interno, permitido o acesso direto ao servidor interno, desonerando o
>>> firewall.
>>>    Se o IP externo responde na porta 8080, e verdadeiro servidor
>>> real(interno) responde na porta 80... Pronto, está armada a confusão.
>>>
>>>
>>> E por esse motivo já escutei várias vezes "Esse tal de DNS
>>> Doctoring(Re-Write) é um porcaria."
>>>
>>>
>>> Em 4 de outubro de 2012 00:58, Kurt Kraut <listas at kurtkraut.net> escreveu:
>>>
>>>> Olá,
>>>>
>>>>
>>>> Pela segunda vez ouço de sysadmins de clientes uma afirmação que me
>>> deixou
>>>> surpreso e preocupado: que o redirecionamento de portas em um roteador
>>> que
>>>> faz o NAT é perigoso, recurso este encontrado até em roteadores wireless
>>>> SOHO. Em um exemplo mais ilustrativo:
>>>>
>>>> 200.200.200.200:8888 (roteador) -> 192.168.0.200:80 (servidor web)
>>>>
>>>> Ou seja, que fazer com o IP público válido na porta 80 seja redirecionado
>>>> para um IP local na mesma ou outra porta expõe a rede. O que deixaram a
>>>> entender é que esse caminho da borda até a máquina local não é restrito e
>>>> que alguns ataques podem burlar isso, fazendo não só que outras portas do
>>>> mesmo IP local sejam acessadas como outras máquinas da rede sejam também
>>>> acessadas.
>>>>
>>>> Isso procede? Qual o real risco desse procedimento? O que é necessário
>>> ser
>>>> feito para explorar essa falha?
>>>>
>>>>
>>>> Abraços,
>>>>
>>>>
>>>> Kurt Kraut
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>>
>>>
>>> --
>>> Douglas Fernando Fischer
>>> Engº de Controle e Automação
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>>
>>
>> --
>>
>>
>>
>>
>> Leandro Souza
>> (11)6716-2967 - OI
>> (11)7188-1172 - VIVO
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list