it-swarm-tr.com

NAT Yönlendiricimdeki geri döngü bir güvenlik sorunu mu?

Bazı DSL yönlendiriciler NAT geri döngü. Güvenlik bazen neden olarak belirtilir. NAT geri döngü gerçekten bir güvenlik sorunu mu?

NAT geridöngü ... LAN üzerindeki bir makinenin LAN/yönlendiricinin harici IP adresi aracılığıyla LAN üzerindeki başka bir makineye erişebildiği (yönlendirmeleri LAN üzerindeki uygun makineye yönlendirmek için yönlendirilmiş port yönlendirme ile) . NAT geri döngü olmadan, LAN'dayken cihazın dahili IP adresini kullanmalısınız.

DÜZENLEME: Güvenlikten bahsetmek gayri resmi kaynaklardan, bu yüzden bunu açıklığa kavuşturmak istiyorum ...

BT Topluluk Forumları :

Bu bir hata değil. Çoğu yönlendirici aynı arabirimde (Geri Döngü) veri göndermez ve almaz, çünkü bu bir güvenlik riskidir.

Ve aynı sayfada daha aşağıda , aynı kullanıcıdan:

Bir ağ mühendisi olarak her gün Cisco ve Brocade yönlendiricilerle çalışıyorum ve bunlar doğal güvenlik sorunları nedeniyle geri dönmeye izin vermeyecek. BT, güvenliğin çok önemli olduğu ve kurumsal sınıf yönlendiricilerde olduğu gibi, geri döngüye izin verilmeyen bir yaklaşım benimsemiştir.

Gönderen NAT Geridöngü Yönlendiriciler :

Birçok DSL yönlendirici/modem, güvenlik özelliği olarak geri döngü bağlantılarını önler.

Dürüst olmak gerekirse, şimdiye kadar her zaman NAT geridönüşü desteklememenin bir 'güvenlik özelliği' değil, donanım/bellenimde bir hata olduğunu mu varsaydım ?! sorun IMHO. (Tahmin etmediyseniz, yönlendiricim NAT geri döngü özelliğini desteklemiyor.)

10
MrWhite

Çoğu tüketici sınıfı yönlendiricinin buna karşı herhangi bir yasağı yoktur, işe yaramaz.

Aşağıdaki senaryoyu düşünün. Bu varsayımsal değil, sadece kendi bilgisayarınızda tcpdump çalıştırın ve bunun şu anda gerçekleştiğini göreceksiniz. Buffalo ddwrt anlarımdan önce sadece doğrulamak için yakalandı.

Oyuncular: [Yönlendirici: 10.0.0.1] [Bilgisayar1: 10.0.0.3] [Bilgisayar2: 10.0.0.4]
Dış IP: 99.99.99.99, Bilgisayar2'ye yönlendirildi

  • Bilgisayar1 - Yönlendirici [10.0.0.3 -> 99.99.99.99]

  • Yönlendirici, hedefi 10.0.0.4 olarak değiştirmek için DNAT kullanır ve yerel ağa geri iter:
    Bilgisayara Yönlendirici2 [10.0.0.3 -> 10.0.0.4]

  • Bilgisayar2, kaynak IP'ye göndererek pakete yanıt vermeye çalışır.
    Bilgisayar2'den Bilgisayar1'e [10.0.0.4 -> 10.0.0.3]

  • Bilgisayar1: WTF?
    Computer1 99.99.99.99'dan bir yanıt bekliyordu, bunun yerine 10.0.0.4'ten bir yanıt aldı. Adresler eşleşmiyor, bağlantı hatası, RST paketi geri gönderildi.

Şimdi soruyorsunuz, yönlendirici neden Computer2'yi Computer2'ye yönlendirirken Computer1'den yönlendiricinin dahili IP'sine bağlantıyı SNAT yapmıyor? Çünkü SNAT kuralı, yukarıdaki paterni takip etmeyen trafiğin geri kalanının tamamını karıştıracaktır.

SNAT gerçekten bir yönde kullanılmalı ve sizi ısırmayacak bir NAT kural kümesi) oluşturmaya ve sürdürmeye çok fazla zaman ayırmaya ve özen göstermeye istekli değilseniz.

Ve bunun nasıl olduğunu söyleyen herkesi önlemek için:

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 10.0.0.0/24 -j MASQUERADE

Bu kuralın yalnızca NAT-loopback trafiğini değil, aynı zamanda köprü trafiğini (örneğin WiFi ağından Kablolu ağa) da etkileyeceğini belirtiyordum. sinir bozucu bir WiFi yönlendirici yapacaktı. Kural SADECE biraz daha zor olan ve muhtemelen paketleri işaretlemeyi içeren geri döngü trafiğine uyacak şekilde uyarlanmalıdır. İmkansız değil, ama çoğu yönlendiriciye giren bir tür mühendislik ve hata ayıklama değil; ve kesinlikle tehlikeyle dolu.

Sözlük:
SNAT = Kaynak NAT (kaynak IP'sini değiştirme)
DNAT = Hedef NAT (hedef IP'yi değiştirme)
NAT = Ağ Adresi Çevirisi

11
tylerl

Bunun teknik bir temeli bulunamadı NAT geridöngü güvenlik sorunu talebi. =)

İlk günlerimde hatırlayabildiğim tek geridönüş, bir cat5e'nin RJ45'inin her iki ucunu da aynı anahtara bağlayıp LAN'ın bağlantısını bozuyordu. O zamanlar buna geri döngü diyoruz. Ancak bu, güvenlik meselesinden çok daha tekniktir.

2
John Santos