it-swarm-eu.dev

NAT Loopback sul mio router è un problema di sicurezza?

Alcuni router DSL impediscono NAT loopback. La sicurezza è talvolta citata come ragione. È NAT loopback davvero un problema di sicurezza? E se sì, come viene sfruttato?

Loopback NAT ... in cui una macchina sulla LAN è in grado di accedere a un'altra macchina sulla LAN tramite l'indirizzo IP esterno della LAN/router (con il port forwarding impostato sul router per indirizzare le richieste alla macchina appropriata sulla LAN) . Senza NAT loopback è necessario utilizzare l'indirizzo IP interno del dispositivo quando si è sulla LAN.

EDIT: Le menzioni di sicurezza provengono certamente da fonti non ufficiali, motivo per cui vorrei chiarire questo ...

Dai BT Community Forums :

Questo non è un difetto. La maggior parte dei router non invierà e riceverà dati sulla stessa interfaccia (Loopback), poiché si tratta di un rischio per la sicurezza.

E più in basso nella stessa pagina , dallo stesso utente:

Come ingegnere di rete lavoro quotidianamente con i router Cisco e Brocade e questi non consentiranno il loopback a causa dei problemi di sicurezza intrinseci. BT ha adottato un approccio secondo cui la sicurezza è molto importante e, come per i router di classe enterprise, il loopback non è consentito.

Da na pagina su NAT Loopback Router :

Molti router/modem DSL impediscono le connessioni di loopback come funzionalità di sicurezza.

Ad essere onesti, fino ad ora ho sempre ipotizzato che il mancato supporto NAT il loopback fosse semplicemente un errore nell'hardware/firmware, non una "caratteristica di sicurezza" ?! La sua omissione è di gran lunga maggiore problema IMHO. (Se non avessi indovinato, il mio router non supporta NAT loopback.)

10
MrWhite

La maggior parte dei router di fascia consumer non ha alcun divieto, semplicemente non funziona.

Immagina il seguente scenario. Questo non è ipotetico, esegui tcpdump sul tuo computer e vedrai che succede subito. Catturato dal mio ddwrt di Buffalo pochi istanti fa solo per verificarlo.

Giocatori: [Router: 10.0.0.1] [Computer1: 10.0.0.3] [Computer2: 10.0.0.4]
IP esterno: 99.99.99.99, inoltrato a Computer2

  • Da Computer1 a Router [10.0.0.3 -> 99.99.99.99]

  • Il router utilizza DNAT per cambiare la destinazione in 10.0.0.4 e la riporta alla rete locale:
    dal router al computer2 [10.0.0.3 -> 10.0.0.4]

  • Computer2 tenta di rispondere al pacchetto inviando all'IP di origine.
    Da Computer2 a Computer1 [10.0.0.4 -> 10.0.0.3]

  • Computer1: WTF?
    Computer1 si aspettava una risposta da 99.99.99.99, invece ne ha ottenuto uno da 10.0.0.4. Gli indirizzi non corrispondono, errore di connessione, pacchetto RST rispedito.

Ora, chiedi, perché il router SNAT non collega la connessione da Computer1 all'IP interno del router quando DNAT lo collega a Computer2? Perché la regola SNAT farebbe casino di tutto il resto del traffico che non segue il modello sopra.

SNAT dovrebbe davvero essere usato solo in una direzione a meno che tu non sia disposto a dedicare molto tempo e cura a creare e mantenere un set di regole NAT che non ti morde.

E per anticipare chiunque dica questo:

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 10.0.0.0/24 -j MASQUERADE

Vorrei sottolineare che questa regola inciderebbe non solo sul traffico NAT-loopback, ma anche sul traffico bridge (ad es. Rete WiFi verso rete cablata), che renderebbe un router WiFi frustrato in modo frustrante. La regola dovrebbe essere adattata per abbinare SOLO il traffico di loopback, che è leggermente più complicato e probabilmente comporta la marcatura dei pacchetti. Non impossibile, ma non è il tipo di ingegneria e debug che va nella maggior parte dei router; e certamente irto di pericoli.

Glossario:
SNAT = Source NAT (modifica dell'IP sorgente)
DNAT = Destinazione NAT (modifica dell'IP di destinazione)
NAT = Traduzione dell'indirizzo di rete

11
tylerl

Impossibile trovare una base tecnica per questo NAT reclamo relativo al problema di sicurezza del loopback. =)

L'unico problema di loopback che posso ricordare nei miei primi giorni era quello di collegare entrambe le estremità del RJ45 di un cat5e allo stesso switch e rovinare la connettività della LAN. Allora, lo chiamiamo un loopback. Ma è piuttosto più tecnico piuttosto che un problema di sicurezza.

2
John Santos