¿No deberíamos todos estar protegidos por NATing?

  

El administrador de mi red está convencido de que la NAT mediante proxy es suficiente para la protección ... se usa básicamente para proteger de atacantes externos, malwares de Internet, falsificaciones de DNS y cualquier ataque basado en la red.

NAT ayuda a restringir el acceso a los sistemas dentro de una red interna desde fuera de la red, ya que solo permite datos desde el exterior si se inició una conexión coincidente desde dentro.

Pero eso no es lo que suelen ser los ataques de hoy. Hoy en día, los ataques típicos contra usuarios dentro de una red usan malware adjunto a correos o entregados cuando se visitan sitios web (es decir, publicidad maliciosa, sitios web pirateados, antivirus falsos o complementos ...). En todos estos casos, el usuario interno solicita los datos, lo que significa que ningún NAT lo detendrá.

Y una vez que el malware se ejecuta, el malware se conecta a sus maestros externos para recibir sus comandos y cargas útiles maliciosas. Dado que estas conexiones se inician desde el interior, NAT tampoco bloqueará nada.

  

en el caso de las conexiones Bind_TCP , las puertas traseras son inútiles para plantar   Víctimas, porque no podemos acceder directamente.

Verdadero , pero nunca se accede a ellos directamente. A menudo, los troyanos solo mantienen viva una conexión TCP con el servidor de control. Esta conexión se puede utilizar para recibir comandos, recuperar archivos, etc.

  

En el caso de Reverse_TCP , sigue siendo el mismo, no podemos inyectar nuestro privado   IP en la carga útil y espere una conexión en una IP privada.

Nosotros podríamos , esto se convierte esencialmente en un túnel.

Pero NAT es NO un cortafuegos. Muchos ISP cometen el mismo error con sus CPE. Hay numerosas maneras de evitar NAT. Por ejemplo, para holepunching, UPnP o para revertir la inicialización de la conexión.

No olvides que esto solo funciona con IPv4 . El gran espacio de direcciones para IPv6 elimina la necesidad de una NAT y, por lo tanto, permite el acceso directo al dispositivo desde Internet. Esto puede parecer un problema (y, en cierta medida, lo es), pero IPv6 tiene sus propios beneficios, como la conmutación de direcciones en tantas conexiones.

Hay un pequeño defecto en tu lógica. Usted asume que en el segundo caso estamos protegidos por el miedo del atacante a ser rastreados. Hay al menos:

• Atacantes que no se preocupan por ser descubiertos
• Atacantes que no están preocupados, porque residen en un país diferente
• Dispositivos infectados con malware, que actúan como servidores proxy para atacantes reales
• Proveedores de alojamiento compartido, que pueden no estar dispuestos a cooperar con nadie

Además, los atacantes pueden usar otras técnicas para establecer conexiones con una víctima detrás de un NAT. Por ejemplo, hay un excelente escritura sobre cómo usar TOR para una conexión de control y comando casi imposible de rastrear.

1. Un atacante siempre puede usar una puerta trasera que establece una conexión de salida a un host público controlado por el atacante, lo que establece el canal para acceder al escritorio de la víctima. Por lo tanto, no es necesaria una conexión directa con el escritorio.

2. Si el atacante está usando un host con una dirección IP pública, es posible la suplantación de IP.

Además, si el atacante está utilizando un enrutador comprometido en un ISP, siempre puede limpiar sus pistas después de realizar el ataque. La mayoría de los ataques se rechazan en una serie de hosts ya comprometidos para que el atacante no pueda rastrearse.

En ambos escenarios, el uso de una conexión NAT a la Internet pública no protege a la víctima.