[GTER] Redirecionamento de portas no NAT é perigoso?

Silmar A. Marca smarca at gmail.com
Fri Oct 5 10:56:33 -03 2012


 A opinião de que isto é uma insegurança é gerada pela seguinte estratégia:
se quer algo seguro, melhor retirar a internet, retirar o usb, retirar o
cdrom, retirar disquetes e se conseguir desligar o computador e retirar o
usuário que está na frente dele.

O problema estaria não no NAT em si, mas sim na aplicação que é acessada.
Se a máquina com a página interna é segura, tudo está seguro. Problemas
ocorreriam se a máquina que contem a página está insegura, ou seja, pode
ocorrer um bypass na segurança desta máquina e um intruso poderá usar ela
como trampulim para as demais máquinas internas.
Com o NAT, as máquinas internas ficam inacessíveis por auxencia de rota.
Tudo para no roteador. Mas quando se cria uma máquina com DMZ (desvio
total) ou com PNAT (desvio de portas), é possivel acesso inicial a esta
máquina ou porta restrita. Até aí tudo bem. Mas sabemos que esta máquina
interna consegue (ela por si) ter acesso a outras máquinas internas.
Continua não sendo este o problema. O problema seria o caso de um
trampulim, onde um intruso invade de alguma maneira esta máquina e usa ela
para acessar as demais internas.

Vc pode evitar isto fazendo com que esta máquina que seria acessada
externamente não possa se comunicar diretamente com as máquinas internas,
ou seja, o nat da máquina que seria o servidor não pode ser o mesmo nat da
máquina das estacoes internas. No seu teste as máquinas internas e da
internet conseguiriam acessar o servidor, mas do servidor para as maquinas
internas não haveria rota ou redirecionamento, e da internet para as
maquinas internas também sem rota ou redirecionamento. Se vc conseguir dar
um ping do servidor para as maquinas internas ou acessar arquivos das
maquinas internas ou qualquer coisa do tipo, considere seu sistema provável
de ser invadido, caso ocorra um trampulim.
Paralelamente, mantenha esta máquina que é acessada externamente impecável,
com atualizacoes, bloqueios etc. Para que ela em primeiro lugar não seja
invadida, em segundo lugar se for invadida não consiga invadir outras.

É isto...
Att, Silmar A. Marca
------------------------------------------------------------
Se algo não lhe faz mal (físico, moral ou psicologicamente),
experimente! O máximo é você perder tempo! E tempo, é
o que você tem a vida toda pra perder.....
Mais vale um instante de sabedoria que uma eternidade fútil!
------------------------------------------------------------
Em 4 de outubro de 2012 00:58, Kurt Kraut <listas at kurtkraut.net> escreveu:

> Olá,
>
>
> Pela segunda vez ouço de sysadmins de clientes uma afirmação que me deixou
> surpreso e preocupado: que o redirecionamento de portas em um roteador que
> faz o NAT é perigoso, recurso este encontrado até em roteadores wireless
> SOHO. Em um exemplo mais ilustrativo:
>
> 200.200.200.200:8888 (roteador) -> 192.168.0.200:80<http://192.168.0.200/>(servidor web)
>
> Ou seja, que fazer com o IP público válido na porta 80 seja redirecionado
> para um IP local na mesma ou outra porta expõe a rede. O que deixaram a
> entender é que esse caminho da borda até a máquina local não é restrito e
> que alguns ataques podem burlar isso, fazendo não só que outras portas do
> mesmo IP local sejam acessadas como outras máquinas da rede sejam também
> acessadas.
>
> Isso procede? Qual o real risco desse procedimento? O que é necessário ser
> feito para explorar essa falha?
>
>
> Abraços,
>
>
> Kurt Kraut
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list