¿Es NAT Loopback en mi enrutador un problema de seguridad?

10

Algunos enrutadores DSL impiden el loopback NAT. La seguridad se cita a veces como la razón. ¿Es NAT loopback realmente un problema de seguridad? Y si es así, ¿cómo se explota esto?

NAT loopback ... donde una máquina en la LAN puede acceder a otra máquina en la LAN a través de la dirección IP externa de la LAN / enrutador (con el reenvío de puertos configurado en el enrutador para dirigir las solicitudes a la máquina apropiada en la LAN). Sin NAT loopback, debe usar la dirección IP interna del dispositivo cuando esté en la LAN.

EDITAR: Las menciones de seguridad son ciertamente de fuentes no oficiales, por lo que me gustaría aclarar esto ...

De la BT Foros de la comunidad :

  

Esto no es un error. La mayoría de los enrutadores no envían ni reciben datos   en la misma interfaz (Loopback), ya que esto es un riesgo de seguridad.

Y más abajo la misma página , del mismo usuario:

  

Como ingeniero de redes, trabajo con Cisco y Brocade Routers diariamente y   estos no permitirán el bucle de retorno debido a los problemas de seguridad inherentes. BT   han adoptado un enfoque que la seguridad es muy importante y al igual que con   enrutadores de clase empresarial, el bucle de retorno no está permitido.

Desde una página sobre enrutadores NAT Loopback :

  

Muchos enrutadores / módems DSL impiden las conexiones de bucle invertido como una seguridad   característica.

Para ser honesto, hasta ahora siempre he asumido que el hecho de no admitir el loopback NAT fue simplemente un fallo en el hardware / firmware, no una "característica de seguridad". Su omisión es un problema mucho mayor en mi humilde opinión. (Si no lo has adivinado, mi enrutador no es compatible con NAT loopback).

    
pregunta MrWhite 21.06.2012 - 20:26
fuente

2 respuestas

11

La mayoría de los enrutadores de grado de consumidor no tienen ninguna prohibición, simplemente no funciona.

Imagina el siguiente escenario. Esto no es hipotético, simplemente ejecute tcpdump en su propia computadora y verá que sucede ahora mismo. Capturado de mi momento anterior en Buffalo ddwrt solo para verificar.

Jugadores: [Router: 10.0.0.1] [Computer1: 10.0.0.3] [Computer2: 10.0.0.4]
IP exterior: 99.99.99.99, reenviado a Computer2

  • Computer1 to Router [10.0.0.3 - > 99.99.99.99]

  • El enrutador usa DNAT para cambiar el destino a 10.0.0.4 y lo empuja nuevamente a la red local:
    Router to Computer2 [10.0.0.3 - > 10.0.0.4]

  • Computer2 intenta responder al paquete enviando a la IP de origen.
    Computer2 a Computer1 [10.0.0.4 - > 10.0.0.3]

  • Computadora1: ¿WTF?
    Computadora1 esperaba una respuesta de 99.99.99.99, obtuve una de 10.0.0.4 en su lugar. Las direcciones no coinciden, falla de conexión, paquete RST devuelto.

Ahora, usted pregunta, ¿por qué el enrutador no SNAT la conexión de la Computadora1 a la IP interna del enrutador cuando la conecta a la Computadora2? Debido a que la regla SNAT haría un lío de todo el resto del tráfico que no sigue el patrón anterior.

SNAT realmente solo debe usarse en una dirección a menos que estés dispuesto a dedicar mucho tiempo y cuidado a crear y mantener un conjunto de reglas NAT que no te morderá.

Y para adelantarse a cualquiera que diga cómo sobre esto:

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 10.0.0.0/24 -j MASQUERADE

Me gustaría señalar que esta regla afectaría no solo al tráfico NAT-loopback, sino también al tráfico bridge (por ejemplo, una red WiFi a una red Wired), lo que haría que un enrutador WiFi se rompa de manera frustrante. La regla debería adaptarse a SÓLO el tráfico de bucle de retorno, que es un poco más complicado y probablemente implica marcar paquetes. No es imposible, pero no es el tipo de ingeniería y depuración que se utiliza en la mayoría de los enrutadores; y ciertamente lleno de peligros.

Glosario:
SNAT = NAT de origen (cambiando la IP de origen)
DNAT = NAT de destino (cambiando el destino IP)
NAT = Traducción de direcciones de red

    
respondido por el tylerl 22.06.2012 - 07:44
fuente
2

No puedo encontrar una base técnica para esta reclamación de problema de seguridad de bucle de retorno de NAT. =)

El único problema de loopback que puedo recordar en mis primeros días fue enganchar ambos extremos del RJ45 de un cat5e al mismo conmutador y estropear la conectividad de la LAN. En ese entonces, lo llamamos un loopback. Pero es un problema bastante más técnico que de seguridad.

    
respondido por el John Santos 22.06.2012 - 15:18
fuente

Lea otras preguntas en las etiquetas