Il fornitore può accedere alla mia rete locale?

5

Recentemente ho parlato con il mio ISP di molte cose, fondamentalmente legate alla mia (poca) sicurezza aziendale, questo ragazzo è un guru del networking per me, ma ha fatto una cosa strana che mi preoccupa. Fondamentalmente ho una macchina di sviluppo web che si trova nella mia LAN, che non ha port forwarding (non è raggiungibile da internet), ma poteva accedere a un server web su di essa dall'esterno dell'interfaccia WAN del router in qualche modo e non voleva dirmi come ha fatto esso. Dice solo che è normale per lui, essendo il mio fornitore, essere in grado di eseguire il port scanning e accedere ai servizi del mio computer (wtf?!?). Ha anche detto che dovrebbe esserci qualche regola da aggiungere alla mia tabella di routing che dovrebbe impedirlo, ma lui "non ricorda" il suo contenuto. Ovviamente al ragazzo piace curiosare negli affari degli altri, e mentre siamo una specie di amici, non mi piace VERAMENTE.

Ho un vecchio router Linux in una scatola, basato su iptables 1.2-qualcosa, e qui ci sono i suoi script (ho eliminato ogni port forwarding e ho rifiutato le regole per brevità). Questi erano quelli standard.

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       tcp  --  anywhere             anywhere           tcp 
Chain FORWARD (policy DROP)
num  target     prot opt source               destination         
1    TCPMSS     tcp  --  anywhere             anywhere           tcp flags:SYN,RST/SYN     TCPMSS clamp to PMTU          
//here follows a bunch of port forwarding rules and DENY rules I set,
//and line 60 looks kind of out of place, given line 61
60   ACCEPT     all  --  anywhere             anywhere           
61   ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED 
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

Quindi la domanda è triplice:

  • in che modo un ISP avrebbe potuto accedere alla porta 80 sulla mia macchina senza che l'avessi inoltrata sul router?
  • Come posso impedire a lui o a chiunque altro in quella rete di farlo
  • per favore spiega perché c'è la riga 60 e dopo c'è la riga 61, perché da quello che ho capito, se qualcosa è permesso alla riga 60 allora i pacchetti sarebbero già autorizzati a passare senza nemmeno raggiungere la linea 61

Modifica

Questa è la mia configurazione, penso che sia piuttosto standard:

ISP network -> their WiFi bridge -> Our router -> Our Network (with my DEV machine)

L'ISP dovrebbe essere in grado di effettuare il porting sul nostro router. Tutto quello che mi hanno dato era una spina per il loro bridge WiFi che è sul nostro tetto e un IP, il router è stato acquistato separatamente.

    
posta Kitet 16.02.2014 - 18:54
fonte

2 risposte

1

Penso che tu abbia la risposta alla tua domanda nelle regole del firewall. Dal tuo diagramma di rete è ragionevole aspettarsi che il tuo ISP abbia accesso al bridge Wi-Fi che forniscono, quindi se un host è accessibile da lì, è probabile che possa accedervi.

Nelle tue regole, menzionando la regola 60 sembra fuori luogo. La regola 61 sembra una regola standard necessaria per consentire il traffico relativo alle connessioni in uscita dalla rete interna, ma la regola 60 sembra dalle informazioni fornite per avere tutto il traffico inoltrato attraverso il router.

hai anche ragione nel dire che di solito il firewall corrisponde a una regola e poi smette di far corrispondere quella catena, quindi la prima regola di accettazione verrebbe colpita e la seconda 61 non verrebbe colpita.

Per testare ciò che farei se fossi in grado di connettere una macchina all'interfaccia "esterna" del tuo router, dargli un indirizzo IP in qualsiasi subnet utilizzata (supponendo che non ci sia DHCP in atto) e quindi prova a connetterti a una macchina sulla tua rete interna. Se è possibile, sembra probabile che la regola "60" sia il problema.

Tuttavia, stai molto attento a rimuovere la regola, in quanto la rimozione delle regole di accettazione sui firewall di produzione può avere conseguenze inattese (ad esempio, consentire il traffico effettivamente desiderato e quando lo rimuovi, il traffico smette di scorrere).

    
risposta data 02.03.2014 - 20:44
fonte
0

Innanzitutto, è necessario abilitare l'output dettagliato di iptables. Le regole che sembrano essere le stesse potrebbero essere diverse, perché hanno un'opzione non mostrata. Ad esempio, uno di essi potrebbe essere applicato solo all'interfaccia di loopback.

Hai bisogno di chiarire esattamente cosa è successo, cosa è collegato dove e cosa a cui apparentemente ha avuto accesso tramite quale connessione. Un diagramma di rete completo con indirizzi IP potrebbe aiutare a chiarirlo.

  1. Forse il tuo router sta indirizzando il tuo spazio IP privato. Sebbene non sia accessibile su Internet in generale, il tuo ISP potrebbe aggiungere un percorso per dire "192.168.1.0/24" che passa attraverso il router.
  2. Era nel tuo ufficio? Forse si è appena connesso da dentro il tuo ufficio ma ha detto che era fuori.
  3. Potrebbe aver appena effettuato l'accesso al router e cambiato le cose.
  4. Il router potrebbe avere UPnP o qualcosa abilitato che gli ha permesso di aggiungere regole dinamicamente (improbabile se fosse solo iptables).
  5. Se avesse avuto accesso alla tua rete, avrebbe potuto inviare un pacchetto dall'IP del tuo server web e origine della porta 80. Una povera implementazione NAT (probabilmente non iptables) potrebbe quindi eseguire una mappatura sulla porta 80 che consente l'IP (ICE e altri sistemi di perforatura sono in realtà solo una raccolta di tecniche per tentare di sfruttare i dispositivi NAT malamente implementati.)
risposta data 02.03.2014 - 00:48
fonte

Leggi altre domande sui tag