it-swarm-eu.dev

Ist NAT Loopback auf meinem Router ein Sicherheitsproblem?

Einige DSL-Router verhindern NAT Loopback. Sicherheit wird manchmal als Grund genannt. Ist NAT Loopback wirklich ein Sicherheitsproblem? Und wenn ja, wie wird dies ausgenutzt?

NAT-Loopback ... bei dem ein Computer im LAN über die externe IP-Adresse des LAN/Routers auf einen anderen Computer im LAN zugreifen kann (mit auf dem Router eingerichteter Portweiterleitung, um Anforderungen an den entsprechenden Computer im LAN zu leiten) . Ohne NAT Loopback) müssen Sie im LAN die interne IP-Adresse des Geräts verwenden.

EDIT: Die Erwähnungen der Sicherheit stammen zugegebenermaßen aus inoffiziellen Quellen, weshalb ich dies klarstellen möchte ...

Aus den BT Community Forums :

Dies ist kein Fehler. Die meisten Router senden und empfangen keine Daten über dieselbe Schnittstelle (Loopback), da dies ein Sicherheitsrisiko darstellt.

Und weiter unten auf derselben Seite , vom selben Benutzer:

Als Netzwerktechniker arbeite ich täglich mit Cisco- und Brocade-Routern, die aufgrund der damit verbundenen Sicherheitsprobleme kein Loopback zulassen. BT hat einen Ansatz gewählt, bei dem Sicherheit sehr wichtig ist. Wie bei Routern der Enterprise-Klasse ist Loopback nicht zulässig.

Von eine Seite über NAT Loopback-Router :

Viele DSL-Router/Modems verhindern Loopback-Verbindungen als Sicherheitsmerkmal.

Um ehrlich zu sein, habe ich bis jetzt immer angenommen, dass das Versagen der Unterstützung NAT Loopback einfach ein Fehler in der Hardware/Firmware war, kein 'Sicherheitsmerkmal'?! Die Auslassung ist weitaus größer Problem IMHO. (Wenn Sie nicht erraten haben, unterstützt mein Router nicht NAT Loopback.)

10
MrWhite

Die meisten Consumer-Router haben kein Verbot, es funktioniert einfach nicht.

Stellen Sie sich das folgende Szenario vor. Dies ist nicht hypothetisch. Führen Sie einfach tcpdump auf Ihrem eigenen Computer aus, und Sie werden sehen, dass dies sofort geschieht. Erfasst von meinem Buffalo ddwrt vor wenigen Augenblicken, nur um es zu überprüfen.

Spieler: [Router: 10.0.0.1] [Computer1: 10.0.0.3] [Computer2: 10.0.0.4]
Außerhalb der IP: 99.99.99.99, weitergeleitet an Computer2

  • Computer1 zu Router [10.0.0.3 -> 99.99.99.99]

  • Der Router verwendet DNAT, um das Ziel in 10.0.0.4 zu ändern, und schiebt es zurück in das lokale Netzwerk:
    Router zu Computer2 [10.0.0.3 -> 10.0.0.4]

  • Computer2 versucht, auf das Paket zu antworten, indem er es an die Quell-IP sendet.
    Computer2 bis Computer1 [10.0.0.4 -> 10.0.0.3]

  • Computer1: WTF?
    Computer1 erwartete eine Antwort von 99.99.99.99 und erhielt stattdessen eine von 10.0.0.4. Adressen stimmen nicht überein, Verbindungsfehler, RST-Paket zurückgesendet.

Nun fragen Sie sich, warum der Router die Verbindung von Computer1 zur internen IP des Routers nicht SNAT, wenn er sie zu Computer2 DNATs? Weil die SNAT-Regel den gesamten Rest des Datenverkehrs durcheinander bringen würde, der nicht dem obigen Muster folgt.

SNAT sollte wirklich nur in eine Richtung verwendet werden, es sei denn, Sie sind bereit, viel Zeit und Sorgfalt in die Erstellung und Pflege eines NAT -Regelsatzes) zu investieren, der Sie nicht beißt.

Und um jeden zu verhindern, der sagt, wie wäre es damit:

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 10.0.0.0/24 -j MASQUERADE

Ich möchte darauf hinweisen, dass diese Regel nicht nur den NAT-Loopback-Verkehr betrifft, sondern auch den Bridge-Verkehr (z. B. WiFi-Netzwerk zu kabelgebundenem Netzwerk) würde einen WLAN-Router frustrierend kaputt machen. Die Regel müsste so angepasst werden, dass sie NUR dem Loopback-Verkehr entspricht, was etwas schwieriger ist und wahrscheinlich das Markieren von Paketen beinhaltet. Nicht unmöglich, aber nicht die Art von Engineering und Debugging, die in den meisten Routern verwendet wird. und sicherlich voller Gefahren.

Glossar:
SNAT = Source NAT (Ändern der Quell-IP)
DNAT = Ziel NAT (Ändern der Ziel-IP)
NAT = Netzwerkadressübersetzung

11
tylerl

Ich kann keine technische Grundlage für dieses Problem finden NAT Anspruch auf Loopback-Sicherheitsproblem. =)

Das einzige Loopback-Problem, an das ich mich in meinen frühen Tagen erinnern kann, war, beide Enden des RJ45 eines Cat5e an denselben Switch anzuschließen und die Konnektivität des LAN zu beeinträchtigen. Damals nennen wir es einen Loopback. Aber es ist eher ein technisches als ein Sicherheitsproblem.

2
John Santos