Un collaboratore afferma che il semplice abilitazione di IP_forwarding su una macchina Linux single homed pone un rischio per la sicurezza, affermando che potrebbe quindi essere utilizzato come proxy.
Non riesco a pensare a come funzionerebbe, tranne forse se un altro computer sulla stessa LAN lo imposta come un gateway. C'è un rischio qui che non riesco a vedere?
Non funzionerebbe molto bene, per quanto posso vedere. Proxying (oltre a SNAT / masquerading) richiede molto più del semplice IP forwarding.
Vediamo, dì che
192.168.1.3 è Eve
192.168.2.2 è Bob.
Eve imposta Alice come sua porta d'ingresso e fa ping a Bob. Il pacchetto arriva ad Alice che poi inoltra al gateway reale, da dove arriverà a Bob contrassegnato come Eve. Bob rispondeva e la risposta sarebbe stata inviata direttamente ad Eva, bypassando Alice.
Quindi Bob non saprà mai cosa è successo e terrà Eve responsabile di ciò che Eva ha fatto.
L'unica cosa è che ora Alice riesce a intercettare un lato della conversazione.
Quindi ora Eva forgia un pacchetto come proveniente da Alice. Alice riceve un pacchetto dal suo stesso indirizzo proveniente dall'esterno, e con ogni probabilità lo lascia cadere.
Eve poteva forgiare un pacchetto appartenente a Charlie, ma poi, poteva farlo anche prima, senza il supporto per l'inoltro di Alice. In realtà, poteva forgiare chiunque nella rete locale; impostando Alice come gateway, ora sta peggio, perché può falsificare chiunque tranne Alice.
Se ha qualche modo di prevedere le risposte di Bob, può cimentarsi con parolacce cieche della conversazione (ma, ancora una volta, potrebbe farlo prima), se riesce a fare in modo che Charlie lo faccia non risponde interrompendo la connessione, e che il gateway non informa Bob che Charlie non è raggiungibile. Inoltre, per i protocolli di connessione come TCP, "prevedere le risposte di Bob" non è così facile a meno che lo stack di Bob di TCP non sia vulnerabile alla previsione.
Se il vero gateway ha sicurezza su di esso, ora può far sembrare che Alice stesse forgiando un pacchetto da Charlie, in modo che il vero gateway individuasse la falsificazione e credesse che Alice fosse responsabile.
Questo ultimo sembra l'"attacco" più fattibile a cui Alice si espone fornendo servizi di inoltro.
Se è single homed perché dovresti abilitare IP_Forwarding? Immagino che vorrai inoltrare il traffico da una nic all'altra. Se disponi di un computer multi-homed, la tua macchina potrebbe potenzialmente essere utilizzata come proxy nella tua rete. Lo chiamerei punto di snodo o jump box nella tua rete interna. Ma dal momento che esiste una sola interfaccia non sono sicuro del motivo per cui abiliterai quella funzione.
Leggi altre domande sui tag network