La randomizzazione della porta sorgente di NAT break?

Naviga le tue risposte
6

La difesa standard contro l'attacco di Kaminsky è utilizzare la randomizzazione della porta sorgente per tutte le richieste DNS.

NAT interrompe i vantaggi di sicurezza della randomizzazione della porta sorgente?

Più in dettaglio, considera un client che si trova dietro un NAT. Supponiamo che il client utilizzi la randomizzazione della porta di origine per tutte le richieste DNS ed emetta una richiesta. Quando la richiesta attraversa il NAT, il NAT può tradurre il numero di porta di origine in una nuova porta di origine all'interno del pool di numeri di porta locali del NAT.

Mi preoccupo che, se il NAT usa una strategia prevedibile di assegnazione delle porte, questo potrebbe derandomizzare la porta sorgente sul pacchetto, lasciando il client aperto a un attacco Kaminsky. Questo succede in pratica? I NAT traducono la porta sorgente su richieste DNS? Usano le porte di fonte prevedibili? Se questo è un problema per alcuni NAT, qualcuno sa quanto sia diffuso il problema? In questi giorni, i NAT prendono tutte le misure per evitare di mettere a rischio la randomizzazione della porta sorgente? C'è qualcosa che dovresti fare, quando configuri un NAT, per assicurarti che il NAT non ti renda più vulnerabile agli attacchi di Kaminsky?

    
posta D.W. 05.10.2012 - 09:21
fonte

3 risposte

5

Ovviamente le implicazioni dipenderanno dall'implementazione. Il dispositivo NAT è libero di scegliere qualsiasi porta sorgente desiderata e alcune implementazioni possono avere storicamente utilizzato la numerazione delle porte sequenziale. Ma con l'hardware più recente questo sta diventando sempre più improbabile.

In particolare, i router più recenti preferiscono utilizzare la porta sorgente originale del computer client (in particolare per UDP) specificamente per consentire NAT traversal usando una tecnica ora chiamata Punzonatura dei fori UDP .

Ad un certo punto questa è stata considerata una funzionalità ricercata per i giochi, Skype, ecc., ma ora è praticamente prevista.

Inoltre, tieni presente che nella maggior parte dei casi il router imposta stesso come server DNS preferito per la sua rete, quindi esegue un resolver di inoltro localmente sul dispositivo. Ciò significherebbe che la randomizzazione delle porte sul computer client sarebbe irrilevante; invece la randomizzazione dovrebbe essere una caratteristica del risolutore DNS del router.

    
risposta data 05.10.2012 - 09:58
fonte
2

Dipende dal dispositivo che esegue il NAT. I firewall più sofisticati dispongono di funzionalità di codifica delle impronte digitali che possono essere attivate, ad esempio Checkpoint ha avuto tali caratteristiche da NG, credo, quindi ben 10 anni. Un router di base non eseguirà il rimescolamento delle impronte digitali, utilizzerà semplicemente la porta di origine nel pacchetto TCP. Alcuni dispositivi di rete mappano effettivamente le porte di origine in numeri sequenziali, ma questo è molto raro.

Quindi la risposta alla tua domanda è quasi sempre un no qualificato, purché il tuo sistema operativo stia usando la randomizzazione della porta sorgente. Se il sistema operativo utilizza porte di origine prevedibili e si dispone di un dispositivo NAT che non le rende casuali per loro, non c'è protezione contro attacchi predittivi. Se il tuo dispositivo NAT si connette alle porte di sorgente sequenziali, allora comunica a un utente malintenzionato di più sul tuo dispositivo di rete rispetto ai sistemi al suo interno.

    
risposta data 05.10.2012 - 09:58
fonte
1

Anche se il dispositivo NAT rende casuali le porte di origine, può ancora esporre a attacchi di avvelenamento della cache DNS, vedere qui una ricerca sulla sicurezza dei dispositivi NAT e DNS con patch: link

    
risposta data 01.02.2013 - 15:32
fonte

Leggi altre domande sui tag

Cosa dovrebbe fare un sistema di gestione delle vulnerabilità su larga scala Come può un nuovo sito Web creare fiducia con gli utenti?