NAT Linkback sul mio router è un problema di sicurezza?

Naviga le tue risposte
10

Alcuni router DSL impediscono il loopback NAT. La sicurezza viene a volte citata come motivo. NAT loopback è davvero un problema di sicurezza? E se sì, come viene sfruttato?

NAT loopback ... dove una macchina sulla LAN è in grado di accedere a un'altra macchina sulla LAN tramite l'indirizzo IP esterno della LAN / router (con il port forwarding impostato sul router per indirizzare le richieste alla macchina appropriata su la LAN). Senza loopback NAT è necessario utilizzare l'indirizzo IP interno del dispositivo quando si è connessi alla LAN.

EDIT: Le menzioni sulla sicurezza sono ammesse da fonti non ufficiali, motivo per cui vorrei chiarire questo ...

Da BT Forum della community :

This is not a fault. Most routers will not send out and receive data on the same interface (Loopback), as this is a security risk.

E più in basso la stessa pagina , dello stesso utente:

As a network engineer I work with Cisco and Brocade routers daily and these will not allow loopback due to the inherent security issues. BT have adopted an approach that security is very important and as with enterprise class routers, loopback is not permitted.

Da una pagina su router NAT Loopback :

Many DSL routers/modems prevent loopback connections as a security feature.

Per essere onesti, fino ad ora ho sempre pensato che il mancato supporto del loopback NAT fosse semplicemente un fallimento dell'hardware / firmware, non una 'funzione di sicurezza' ?! La sua omissione è un problema molto più grande IMHO. (Se non avessi indovinato, il mio router non supporta il loopback NAT.)

    
posta MrWhite 21.06.2012 - 20:26
fonte

2 risposte

11

La maggior parte dei router di fascia consumer non ha alcun divieto contro di essa, semplicemente non funziona.

Immagina il seguente scenario. Questo non è ipotetico, basta eseguire tcpdump sul tuo computer e vedrai che succede proprio ora. Catturato dal mio Buffalo ddwrt qualche momento fa solo per verificare.

Giocatori: [Router: 10.0.0.1] [Computer1: 10.0.0.3] [Computer2: 10.0.0.4]
IP esterno: 99.99.99.99, inoltrato a Computer2

  • Computer1 al router [10.0.0.3 - > 99.99.99.99]

  • Il router utilizza DNAT per cambiare la destinazione su 10.0.0.4 e reindirizza alla rete locale:
    Router to Computer2 [10.0.0.3 - > 10.0.0.4]

  • Computer2 tenta di rispondere al pacchetto inviandolo all'IP di origine.
    Computer2 a Computer1 [10.0.0.4 - > 10.0.0.3]

  • Computer1: WTF?
    Computer1 si aspettava una risposta da 99.99.99,99, invece ne ha ricevuta una da 10.0.0.4. Gli indirizzi non corrispondono, errore di connessione, pacchetto RST restituito.

Ora, chiedi, perché il router SNAT non connette il computer da Computer1 all'IP interno del router quando lo esegue DNAT su Computer2? Perché la regola SNAT farebbe un casino di tutto il resto del traffico che non segue il modello sopra.

SNAT dovrebbe essere usato solo in una direzione, a meno che tu non sia disposto a dedicare molto tempo e cura alla creazione e al mantenimento di un set di regole NAT che non ti morda.

E per prevenire chi dice di questo: 

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 10.0.0.0/24 -j MASQUERADE

Vorrei sottolineare che questa regola non riguarda solo il traffico NAT-loopback, ma anche il traffico ponte (ad esempio rete WiFi a rete cablata), il che renderebbe un router WiFi frustrato. La regola dovrebbe essere adattata per abbinare SOLO il traffico di loopback, che è leggermente più complicato e probabilmente implica la marcatura dei pacchetti. Non impossibile, ma non il tipo di ingegneria e debug che interessa la maggior parte dei router; e certamente pieno di pericoli.

Glossario:
SNAT = Source NAT (modifica dell'IP di origine)
DNAT = Destinazione NAT (modifica della destinazione IP)
NAT = Traduzione degli indirizzi di rete

    
risposta data 22.06.2012 - 07:44
fonte
2

Impossibile trovare una base tecnica per questo reclamo relativo al problema di sicurezza loopback NAT. =)

L'unico problema di loopback che posso ricordare nei miei primi giorni è stato quello di collegare entrambe le estremità di un RJ45 di cat5e allo stesso switch e compromettere la connettività della LAN. Allora, lo chiamiamo un loopback. Ma è molto più tecnico piuttosto che un problema di sicurezza.

    
risposta data 22.06.2012 - 15:18
fonte

Leggi altre domande sui tag

Dettagli recenti degli exploit XSS di Facebook È sicuro avere un file contenitore TrueCrypt sincronizzato con DropBox?