Backtrack 5 in una VM - Perché eseguire il bridged networking su NAT?

Question

Backtrack 5 in una VM - Perché eseguire il bridged networking su NAT?

#1 da (14 voti)

10

Quando si esegue Backtrack 5 da una macchina virtuale, si consiglia di utilizzare l'opzione di rete a ponte anziché l'opzione di rete NAT? In che modo influisce sull'uso di Backtrack - port scanning, scansione delle vulnerabilità, iniezioni di pacchetti wireless?

linux network kali-linux

posta Ayrx 06.07.2012 - 18:07

fonte

1 risposta

Leggi altre domande sui tag linux network kali-linux

Modello RBAC: utente in due ruoli: accesso dilemma Qualcuno potrebbe spiegare come potrebbe verificarsi l'avvelenamento del DNS in questo scenario?

score 14 · Accepted Answer

In modalità NAT, il sottosistema di rete dell'hypervisor funziona modificando i pacchetti mentre lasciano l'host. Supponendo che TCP / IP su Ethernet, i componenti definitivamente modificati sono:

indirizzo sorgente
source MAC
di solito il TTL
spesso la porta di origine

A volte vengono modificati anche altri flag TCP come DF, dimensione della finestra, ecc.

In una rete ben educata, dove tutti questi flag e opzioni sono impostati in un modo che ha senso secondo RFC, allora quella roba può essere, e dovrebbe essere, modificata opportunamente. Uno strumento di valutazione della vulnerabilità, tuttavia, funziona facendo cose in modo non conforme e non funzionante. Pertanto, quelle intestazione e le modifiche al protocollo normalmente accettabili possono effettivamente causare errori di interpretazione dei risultati del software.

Prendiamo il rilevamento dell'OS come esempio. Il sistema genererà una combinazione di pacchetti normali e anormali in un sistema. Gli stack di rete utilizzati nella maggior parte dei sistemi operativi sono abbastanza noti che le loro risposte dovrebbero essere prevedibili in caso di esito positivo o negativo. Quindi lo strumento di valutazione prenderà le risposte, le esaminerà nella tabella di rilevamento del sistema operativo e farà alcune ipotesi su ciò che pensa che l'host remoto sia in esecuzione sulla base di tali risposte. Dal momento che il dispositivo NAT funziona scorrendo tutti i pacchetti che entrano ed escono ti contaminano i tuoi dati.

Ora, nella stragrande maggioranza dei casi i dati potrebbero ancora essere completamente soddisfacenti. Tuttavia, poiché i pacchetti vengono modificati esternamente dallo strumento di valutazione, lo strumento non saprà necessariamente quali modifiche sono state apportate. Di conseguenza, si corre il rischio che lo strumento esegua analisi su dati errati che potrebbero invalidare i risultati.

Su una nota correlata, storicamente è stata la raccomandazione di non eseguire firewall host sui sistemi di valutazione delle vulnerabilità per lo stesso motivo. Dal momento che, in base alla progettazione, generano traffico anomalo e poiché i firewall sono progettati per proteggerti dal traffico anomalo, è del tutto possibile che il firewall possa eliminare qualcosa in modo inatteso dallo strumento di valutazione. Proprio come l'esempio NAT, anche questo può invalidare i risultati.