Retroceso 5 en una máquina virtual: ¿por qué se puentea la red a través de NAT?

10

Al ejecutar Backtrack 5 desde una máquina virtual, ¿se recomienda usar la opción de red puente en lugar de la opción de red NAT? ¿Cómo afecta el uso de Backtrack: escaneo de puertos, escaneo de vulnerabilidades, inyecciones de paquetes inalámbricos?

    
pregunta Ayrx 06.07.2012 - 18:07
fuente

1 respuesta

14

Cuando está en modo NAT, el subsistema de red del hipervisor funciona modificando los paquetes a medida que salen del host. Suponiendo que TCP / IP sobre Ethernet, los componentes definitivamente cambiados son:

  • dirección de origen
  • fuente MAC
  • usualmente el TTL
  • a menudo el puerto de origen

Algunas veces, otros indicadores TCP también se modificarán, como el DF, el tamaño de la ventana, etc.

En una red de buen comportamiento, donde todas esas banderas y opciones están configuradas de una manera que tiene sentido de acuerdo con RFC, entonces esas cosas pueden ser, y se espera que, se modifiquen adecuadamente. Sin embargo, una herramienta de evaluación de la vulnerabilidad funciona haciendo las cosas de una manera que no cumple con las normas y se comporta mal. Por lo tanto, esas modificaciones de encabezado y protocolo normalmente aceptables pueden hacer que el software malinterprete los resultados.

Tomemos como ejemplo la detección de SO. El sistema lanzará una combinación de paquetes normales y anormales en un sistema. Las pilas de red utilizadas en la mayoría de los sistemas operativos son lo suficientemente conocidas como para que sus respuestas sean predecibles tanto en situaciones de éxito como de fracaso. Por lo tanto, la herramienta de evaluación tomará las respuestas, las buscará en la tabla de detección del sistema operativo y hará algunas conjeturas sobre qué cree que está ejecutando el host remoto basándose en esas respuestas. Dado que el dispositivo NAT funciona al mungear todos los paquetes que entran y salen, contaminas tus datos.

Ahora, en la gran mayoría de los casos, los datos pueden estar totalmente bien. Sin embargo, dado que los paquetes se modifican externamente desde la herramienta de evaluación, la herramienta no necesariamente sabrá qué cambios se realizaron. Como resultado, corre el riesgo de que la herramienta realice análisis en datos incorrectos, lo que puede invalidar sus resultados.

En una nota relacionada, históricamente ha sido la recomendación de no ejecutar firewalls host en sistemas de evaluación de vulnerabilidad por la misma razón. Ya que, por diseño, emiten tráfico anormal, y como los firewalls están diseñados para protegerlo del tráfico anormal, es completamente posible que su firewall pueda dejar algo de forma inesperada por la herramienta de evaluación. Al igual que el ejemplo de NAT, esto también puede invalidar sus resultados.

    
respondido por el Scott Pack 06.07.2012 - 18:47
fuente

Lea otras preguntas en las etiquetas