it-swarm-eu.dev

Je NAT Loopback na mém routeru bezpečnostní problém?

Některé směrovače DSL zabraňují NAT zpětná smyčka. Bezpečnost je někdy uváděna jako důvod. Je NAT zpětná smyčka opravdu problém se zabezpečením? A pokud ano, jak se to zneužívá?

Zpětná smyčka NAT ... kde stroj v síti LAN je schopen přistupovat k jinému počítači v síti LAN prostřednictvím externí adresy IP LAN/router (s předáváním portů nastaveným na směrovači pro směrování požadavků na příslušný stroj v síti LAN) . Bez NAT zpětná smyčka) musíte v síti LAN použít interní adresu IP zařízení.

ÚPRAVA: Zmínky o bezpečnosti jsou bezpochyby z neoficiálních zdrojů, proto bych to rád objasnil ...

Z BT Community Forums :

To není chyba. Většina směrovačů nebude odesílat a přijímat data na stejném rozhraní (Loopback), protože se jedná o bezpečnostní riziko.

A dále dolů na stejné stránce , od stejného uživatele:

Jako síťový inženýr pracuji denně se směrovači Cisco a Brocade a tyto neumožňují zpětné smyčky kvůli problémům se zabezpečením. Společnost BT přijala přístup, že zabezpečení je velmi důležité a jako u směrovačů podnikové třídy není povoleno zpětné vedení smyčky.

Z stránka na NAT směrovače smyčky :

Mnoho směrovačů/modemů DSL brání připojení zpětné smyčky jako funkce zabezpečení.

Abych byl upřímný, až dosud jsem vždy předpokládal, že neschopnost podpory NAT loopback byla prostě selhání v hardwaru/firmwaru, ne „bezpečnostní funkce“ ?! Vynechání je mnohem větší problem IMHO. (Pokud jste to uhádli, můj router nepodporuje NAT zpětná smyčka.)

10
MrWhite

Většina směrovačů zákaznické třídy nemá zákaz, prostě to nefunguje.

Představte si následující scénář. To není hypotetický, stačí spustit tcpdump na vašem počítači a uvidíte, že se to stalo právě teď. Zachyceno z mého Buffalo ddwrt před chvílími jen pro ověření.

Hráči: [Router: 10.0.0.1] [Computer1: 10.0.0.3] [Computer2: 10.0.0.4]
Mimo IP: 99,99,99,99,99, předáno do počítače2

  • Computer1 to Router [10.0.0.3 -> 99,99,99,99,99]

  • Směrovač používá DNAT ke změně cíle na 10.0.0.4 a odešle jej zpět do místní sítě:
    Router to Computer2 [10.0.0.3 -> 10.0.0.4]

  • Computer2 se pokusí odpovědět na paket odesláním na zdrojovou IP.
    Počítač2 na Počítač1 [10.0.0.4 -> 10.0.0.3]

  • Počítač1: WTF?
    Počítač1 očekával odpověď z 99,99,99,99,99, místo toho dostal jednu z 10,0,0,4. Adresy se neshodují, selhání připojení, zpět odeslaný paket RST.

Nyní se ptáte, proč router SNAT nepřipojuje z počítače Computer1 k interní IP routeru, když jej DNAT připojí k počítači Computer2? Protože pravidlo SNAT by udělalo nepořádek ze všech ostatních provozů, které nesledují výše uvedený vzorec.

SNAT by se měl používat pouze jedním směrem, pokud nejste ochotni věnovat spoustu času a péče tvorbě a údržbě pravidel pravidel NAT), které vás nebudou kousat.

A vyloučit každého, kdo o tom říká:

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 10.0.0.0/24 -j MASQUERADE

Chtěl bych zdůraznit, že toto pravidlo bude mít vliv nejen na NAT-loopback provoz, ale také na mostový přenos (např. WiFi síť do kabelové sítě), což by frustrovaně zlomil WiFi router. Pravidlo by muselo být upraveno tak, aby odpovídalo POUZE provozu zpětné smyčky, což je o něco složitější a pravděpodobně zahrnuje označování paketů. Není to nemožné, ale ne takový druh inženýrství a ladění, který jde do většiny směrovačů; a určitě plná nebezpečí.

Slovník:
SNAT = Zdroj NAT (změna zdrojové IP))
DNAT = Cíl NAT (změna cílové IP))
NAT = Překlad síťových adres

11
tylerl

Nelze najít technický základ pro tento požadavek NAT nárok na vrácení zabezpečení zpětné smyčky. =)

Jedinou otázkou zpětné smyčky, kterou si pamatuji v mých raných dnech, bylo připojení obou konců RJ45 Cat5e ke stejnému přepínači a zmatení konektivity LAN. Tehdy tomu říkáme zpětná smyčka. Ale je to spíše technický problém než bezpečnostní problém.

2
John Santos