Non dovremmo essere tutti protetti da NATing?

1

A causa di NAT , quasi tutti gli utenti ora accedono a Internet tramite IP privati e ciò accade se gli utenti si trovano dietro un semplice router di casa o un server proxy complesso .

Quindi, e a quanto ho capito, abbiamo i seguenti:

  • In caso di connessioni Bind_TCP , le backdoor sono inutili da impiantare sulle vittime, perché non possiamo accedere direttamente.
  • In caso di Reverse_TCP , rimane invariato, non possiamo immettere il nostro IP privato nel payload e attendere una connessione su un IP privato.

E anche se l'attaccante ha utilizzato port forwarding sul suo router e ha iniettato il suo IP pubblico con il payload, ciò lo renderà tracciabile.

Quindi, in entrambi i modi, NATing ci sta proteggendo con IP privati, è vero o mi manca qualcosa?

Modifica

Il mio amministratore di rete è convinto che NATing tramite proxy sia sufficiente per la protezione. So che ha torto, ma non so come convincerlo, e il NAT è usato fondamentalmente per proteggere da attacchi esterni, malware da internet, dns spoofs e qualsiasi attacco basato sulla rete.

    
posta Emadeddin 07.09.2016 - 08:30
fonte

4 risposte

3

My network admin is convinced that NATing via proxy is enough for protection... used basically to protect from outside attackers, malwares from internet, dns spoofs, and any network based attacks.

NAT aiuta a limitare l'accesso ai sistemi all'interno di una rete interna dall'esterno della rete in quanto consente solo i dati dall'esterno se è stata avviata una connessione corrispondente dall'interno.

Ma non è quello che sono solitamente gli attacchi di oggi. Oggi gli attacchi tipici contro gli utenti all'interno di una rete utilizzano malware attaccati alle mail o consegnati durante la visita di siti Web (ad esempio, malvertisement, siti Web compromessi, antivirus o plug-in falsi ...). In tutti questi casi l'utente interno richiede i dati, il che significa che nessun NAT lo interromperà.

E una volta che il malware viene eseguito, il malware si connette ai suoi supervisori esterni per ricevere i suoi comandi e i suoi payload dannosi. Dal momento che queste connessioni sono avviate dal NAT interno non bloccherà nulla neanche.

    
risposta data 07.09.2016 - 11:43
fonte
2

in case of Bind_TCP connections, backdoors are useless to plant on victims, because we can't access directly.

Vero , ma non sono mai accessibili direttamente. Spesso i trojan mantengono attiva una connessione TCP al server di controllo. Questa connessione può essere utilizzata per ricevere comandi, recuperare file ecc.

In case of Reverse_TCP, it stays the same, we can't inject our private IP in the payload and wait a connection on a private IP.

Noi potremmo , questo allora diventa essenzialmente un tunnel.

Ma NAT è NON un firewall. Molti ISP commettono lo stesso errore con i loro CPE. Esistono numerosi modi per aggirare NAT. Ad esempio per olepunching, UPnP o inizializzazione della connessione inversa.

Non dimenticare che funziona solo con IPv4 . Lo spazio di indirizzi di grandi dimensioni per IPv6 rende obsoleta la necessità di un NAT e consente quindi l'accesso diretto al dispositivo da Internet. Questo può sembrare un problema (e in qualche modo lo è) ma IPv6 ha i suoi vantaggi, come cambiare gli indirizzi ogni così tante connessioni.

    
risposta data 07.09.2016 - 09:17
fonte
0

C'è un piccolo difetto nella tua logica. Supponi che nel secondo caso siamo protetti dalla paura dell'attaccante di essere rintracciati. Ci sono almeno:

  • Gli attaccanti che non si preoccupano di essere scoperti
  • Attaccanti che non sono preoccupati, perché risiedono in un altro paese
  • Dispositivi infettati da malware, che fungono da proxy per i veri aggressori
  • Provider di hosting condiviso, che potrebbero non essere disposti a collaborare con nessuno

Inoltre, gli aggressori possono usare altre tecniche per stabilire connessioni con una vittima dietro un NAT. Ad esempio, c'è un eccellente writeup su come utilizzare TOR per una connessione quasi non rintracciabile di comando e controllo.

    
risposta data 07.09.2016 - 09:09
fonte
0
  1. Un utente malintenzionato può sempre utilizzare una backdoor che effettua una connessione in uscita a un host pubblico controllato dall'utente malintenzionato, questo stabilisce il canale da raggiungere nel desktop della vittima. Quindi una connessione diretta al desktop non è necessaria.

  2. Se l'utente malintenzionato utilizza un host con un indirizzo IP pubblico, è possibile eseguire lo spoofing IP.

Inoltre, se l'attaccante utilizza un router compromesso presso un ISP, può sempre pulire le sue tracce dopo aver eseguito l'attacco. La maggior parte degli attacchi viene rimbalzata su una serie di host già compromessi in modo che l'attaccante rimanga non tracciabile.

In entrambi gli scenari, l'utilizzo di una connessione NATed a Internet pubblica non protegge la vittima.

    
risposta data 07.09.2016 - 10:04
fonte

Leggi altre domande sui tag