Come connettersi direttamente ai dispositivi dietro NAT da Internet?

Naviga le tue risposte
5

Abbiamo un indirizzo IP su Internet globale: "A"

Abbiamo accesso solo a "A".

Abbiamo una rete dietro un router che esegue NAT: 192.168.1.0/24

C'è un client dietro quel NAT: "B"

Non abbiamo accesso a "B" e al router "NAT".

Obiettivo : raggiungi la "B" direttamente con "A".

Non possiamo usare port forwarding o UPnP, ecc.

Domanda: qual è il trucco per raggiungere "B"? Un trucco che potrebbe essere evitato se il router avesse un firewall stateful, non solo NAT!

Pensiamo che quando "B" naviga nel web, uscirà su Internet. Quando riceve le risposte, il router che esegue il NAT deve decidere quale IP di NATed ha "B"? (potrebbero esserci più macchine dietro la rete NATed). Per questo il router NAT usa anche le informazioni sulla porta. Forse se stiamo usando UDP, possiamo provare tutte le porte non privilegiate con l'IP "A" per inviare un pacchetto a "B"?

Il router NAT è solo un semplice router di soho. (problema originale: provare a dimostrare che NAT non è un firewall, ma abbiamo bisogno di una prova per questo)

    
posta Marina Ala 28.03.2017 - 20:48
fonte

2 risposte

3

In una risposta semplice (se sto capendo correttamente), sì. È possibile farlo utilizzando il tunneling SSH inverso.

Per prima cosa devi configurare il tunnel su "B" utilizzando prima i proxy (può essere fatto tramite Putty), quindi dovrai instradare il tuo traffico attraverso "A" per le richieste.

Quando le risposte tornano, saranno dirette da "A", di nuovo a "B"; raggiungere in modo esenziale "B direttamente con A".

Ecco alcune risorse aggiuntive per realizzare questo: link link

    
risposta data 28.03.2017 - 22:37
fonte
1

In realtà, il tuo piano potrebbe funzionare, a seconda di come funziona il dispositivo NAT.

In genere, i dispositivi NAT mappano l'IP interno e la porta di origine all'IP e alla porta di destinazione in modo che consenta solo che l'IP e la porta comunichino nuovamente all'IP interno. Ciò rende il NAT un firewall di stato molto grezzo e scadente.

Ma questa funzione non è una parte obbligatoria del NAT, il che significa che qualsiasi fornitore può scegliere di implementare questo approccio o meno.

Ciò significa che è teoricamente possibile essere in grado di scansionare le porte di un dispositivo NAT e scoprire la rete interna se i dispositivi sulla rete interna rispondono ai tentativi di connessione . Questa è una grande serie di "se". Ma vale la pena.

Quindi, sì, il NAT da solo non è sufficiente, perché non sai come è stato implementato il NAT . Un firewall di stato fornisce una difesa approfondita per coprire questo potenziale buco sconosciuto. NAT non è una tecnologia di sicurezza e non dovrebbe essere trattato come un meccanismo di protezione.

    
risposta data 29.03.2017 - 10:57
fonte

Leggi altre domande sui tag

La sicurezza della funzione PASSWORD in MySQL FIPS 140-2 pronto per la distribuzione Linux