Un router senza firewall in entrata è un problema di sicurezza su Internet?

3

Immagina questo scenario: Alice ha una sottorete privata (192.168.1.0/24) connessa a un router che è anche collegato alla rete locale B. Il router di Alice esegue NAT (solo usando MASQUERADE; il traffico in uscita avrà come origine il router indirizzo), ma non vi è alcun port forwarding o firewalling aggiuntivo. Il computer di Mallory è anche connesso alla rete B e conosce la configurazione di Alice.

Se Mallory aggiunge una rotta al suo computer (cioè 192.168.1.0/24 tramite il router di Alice), è in grado di eseguire scansioni nmap della rete interna di Alice, dal momento che il router di Alice inoltra felicemente il traffico alla sottorete interna.

Dave è su una rete remota (uno o più hop di distanza) e conosce la configurazione di Alice. Tuttavia, nessuno dei router intermedi tra Dave e il router di Alice conosce il percorso verso la sua sottorete interna (dal momento che si tratta di un intervallo privato, l'infrastruttura di rete può essere configurata per eliminarla comunque, ma ignoriamola per ora), quindi non può essere scansionato allo stesso modo di Mallory.

Dato lo scenario esatto sopra e nessun'altra ipotesi, c'è un modo per Dave di scansionare la rete interna di Alice o altrimenti abusare di questa configurazione anche se il routing non funziona?

Modifica: il "router" in questo esempio sarebbe una macchina * nix configurata con net.ipv4.ip_forward = 1. La domanda è basata su una configurazione che ho osservato e testato.

    
posta multithr3at3d 14.04.2016 - 19:25
fonte

3 risposte

0

Poiché i router tra i dispositivi di Dave e Alice non inoltrano i pacchetti, non c'è modo di parlare direttamente con loro in modo che siano in un certo senso "sicuri". Non esiste un modo diretto per contattare i dispositivi, a meno che non si possa spearphish Mallory. Tuttavia ci sono modi per infastidirli, che possono essere sfruttati da un determinato aggressore.

Lo spoofing dell'IP di origine (per assomigliare a uno dei dispositivi di Alice) e l'invio di un pacchetto a un dispositivo che conosce e ha accesso ai dispositivi di Alice, come il router di Alice, o il computer di Mallory, faranno rispondere il destinatario pensando che fosse uno dei dispositivi di Alice che ha inviato loro il pacchetto. Dal momento che conoscono la via del ritorno, risponderanno in natura (a seconda di quali servizi sono disponibili e di come è configurato il sistema operativo.) Se i servizi sono disponibili, ciò consentirebbe l'abuso come un attacco di amplificazione (vedi l'amplificazione DNS e NTP per maggiori informazioni ) verso i dispositivi di Alice, e ci sono probabilmente altri modi possibili di intromettersi.

    
risposta data 14.04.2016 - 20:26
fonte
0

... a router without a firewall ... using MASQUERADE

Il masquerading non è una funzionalità di routing perché cambia la sorgente del pacchetto. Invece è necessario un firewall stateful per eseguire il masquerading. Il che significa che se è coinvolto il masquerading devi avere anche un firewall. Questo ovviamente non dice nulla sulla configurazione del firewall, ma contraddice il tuo presupposto che tu abbia un router senza firewall.

... since Alice's router will happily forward

Poiché il router / firewall esegue MASQUERADE per il traffico dall'interno (rete privata Alice) all'esterno (ad esempio la rete B e oltre), può solo inoltrare il traffico dall'esterno verso l'interno per il quale esiste una regola NAT attiva. Tutti i pacchetti dall'esterno per i quali non esiste tale regola verranno scartati. Quindi nessuna spedizione felice sarà fatta e nessuna spedizione sarà possibile.

In teoria potresti probabilmente definire regole in cui i pacchetti da una sottorete specifica non passeranno attraverso il NAT ma entreranno direttamente nell'altra rete, ma questa sarebbe una configurazione insolita non standard.

    
risposta data 14.04.2016 - 19:33
fonte
0

Alla fine, l'intera situazione può essere ridotta a un solo fattore: se può trovare un modo per trasferire un pacchetto al router (o alla rete) di Alice con l'indirizzo di destinazione del PC di Alice nell'intestazione IP.

Hai risposto da solo che con il semplice instradamento Layer 3 OSI non è possibile eseguire questa operazione: qualsiasi host L3 intermedio rilascia questo pacchetto. Non c'è modo di superare questo comportamento eseguendo modifiche di origine / destinazione, aggiungendo intestazioni o eseguendo operazioni simili mentre l'altra parte effettua il routing semplice.

Ma per raggiungere il risultato desiderato è possibile utilizzare qualsiasi tipo di tunneling, in altre parole quando una intestazione IP è nascosta all'interno del pacchetto e un'altra intestazione IP viene utilizzata durante il routing su host L3 intermedi. Qui è necessario che la parte di Alice abbia una logica di programmazione, che può decapsulizzare questo pacchetto.

  • Per eseguire una sorta di tunneling direttamente con il router di Alice - ci deve essere un servizio in esecuzione in esecuzione sul router stesso, fidandosi Il pacchetto di Dave.

    Se Dave lo trova e capisci come comprometterlo (usando qualcosa di simile come: link ), quindi l'accesso alla rete locale può essere possibile.

    Qualcuno di vulnerabile o può essere utilizzato un servizio di tunneling configurato in modo improprio (senza autenticazione) - GRE, PPTP, L2TP, IPSec, EoIP ecc.

  • Altro modo: se c'è qualche host compromesso con connettività L2 al router di Alice (ad esempio host nella rete B, rete stessa di Alice o qualsiasi altra rete a cui è collegato il router di Alice).

    Quindi il pacchetto destinato al PC di Alice può essere instradato tramite SSH (usando -L / -R / -D flag, guarda: link ) o qualsiasi altro tunnel del servizio consentito (HTTP / DNS, anche ICMP ecc.) a quell'host.

    Gli host L3 intermedi vedranno l'indirizzo mascherato del router di Alice, poiché la connessione è stata effettuata da host compromesso al pubblico di Dave indirizzo, quindi il pacchetto viene de-capsulizzato dall'host compromesso e inviato a 192.168.1.0/24 di rete tramite il router di Alice come gateway.

    Tale host può essere un server Web compromesso, un utente che esegue file exe da fonti non attendibili ecc. Per ottenere tale funzionalità sono sufficienti anche diritti di accesso limitati sulla macchina.

risposta data 13.06.2018 - 08:59
fonte

Leggi altre domande sui tag