Non dovremmo essere tutti protetti da NATing?

My network admin is convinced that NATing via proxy is enough for protection... used basically to protect from outside attackers, malwares from internet, dns spoofs, and any network based attacks.

NAT aiuta a limitare l'accesso ai sistemi all'interno di una rete interna dall'esterno della rete in quanto consente solo i dati dall'esterno se è stata avviata una connessione corrispondente dall'interno.

Ma non è quello che sono solitamente gli attacchi di oggi. Oggi gli attacchi tipici contro gli utenti all'interno di una rete utilizzano malware attaccati alle mail o consegnati durante la visita di siti Web (ad esempio, malvertisement, siti Web compromessi, antivirus o plug-in falsi ...). In tutti questi casi l'utente interno richiede i dati, il che significa che nessun NAT lo interromperà.

E una volta che il malware viene eseguito, il malware si connette ai suoi supervisori esterni per ricevere i suoi comandi e i suoi payload dannosi. Dal momento che queste connessioni sono avviate dal NAT interno non bloccherà nulla neanche.

in case of Bind_TCP connections, backdoors are useless to plant on victims, because we can't access directly.

Vero , ma non sono mai accessibili direttamente. Spesso i trojan mantengono attiva una connessione TCP al server di controllo. Questa connessione può essere utilizzata per ricevere comandi, recuperare file ecc.

In case of Reverse_TCP, it stays the same, we can't inject our private IP in the payload and wait a connection on a private IP.

Noi potremmo , questo allora diventa essenzialmente un tunnel.

Ma NAT è NON un firewall. Molti ISP commettono lo stesso errore con i loro CPE. Esistono numerosi modi per aggirare NAT. Ad esempio per olepunching, UPnP o inizializzazione della connessione inversa.

Non dimenticare che funziona solo con IPv4 . Lo spazio di indirizzi di grandi dimensioni per IPv6 rende obsoleta la necessità di un NAT e consente quindi l'accesso diretto al dispositivo da Internet. Questo può sembrare un problema (e in qualche modo lo è) ma IPv6 ha i suoi vantaggi, come cambiare gli indirizzi ogni così tante connessioni.

C'è un piccolo difetto nella tua logica. Supponi che nel secondo caso siamo protetti dalla paura dell'attaccante di essere rintracciati. Ci sono almeno:

• Gli attaccanti che non si preoccupano di essere scoperti
• Attaccanti che non sono preoccupati, perché risiedono in un altro paese
• Dispositivi infettati da malware, che fungono da proxy per i veri aggressori
• Provider di hosting condiviso, che potrebbero non essere disposti a collaborare con nessuno

Inoltre, gli aggressori possono usare altre tecniche per stabilire connessioni con una vittima dietro un NAT. Ad esempio, c'è un eccellente writeup su come utilizzare TOR per una connessione quasi non rintracciabile di comando e controllo.

1. Un utente malintenzionato può sempre utilizzare una backdoor che effettua una connessione in uscita a un host pubblico controllato dall'utente malintenzionato, questo stabilisce il canale da raggiungere nel desktop della vittima. Quindi una connessione diretta al desktop non è necessaria.

2. Se l'utente malintenzionato utilizza un host con un indirizzo IP pubblico, è possibile eseguire lo spoofing IP.

Inoltre, se l'attaccante utilizza un router compromesso presso un ISP, può sempre pulire le sue tracce dopo aver eseguito l'attacco. La maggior parte degli attacchi viene rimbalzata su una serie di host già compromessi in modo che l'attaccante rimanga non tracciabile.

In entrambi gli scenari, l'utilizzo di una connessione NATed a Internet pubblica non protegge la vittima.