Vulnerabilidades de NAT puro sin firewall

8

Siguiendo algunos de los comentarios en esta pregunta , tenía curiosidad por las vulnerabilidades de seguridad de NAT. Hay hilos similares aquí y aquí pero discuten las vulnerabilidades del enrutador en lugar de las vulnerabilidades de NAT directamente.

Entonces, imagine que tengo un enrutador directamente conectado a Internet, el enrutador no tiene una configuración que no sea explícitamente requerida para la operación de NAT. El enrutador tampoco tiene vulnerabilidades directas en los puertos que podría exponer (es decir, tiene una interfaz HTTP bien diseñada con una política de contraseña segura / bloqueo). Tampoco hay un reenvío de puertos habilitado en el enrutador. Obviamente, tampoco tiene una red inalámbrica conectada, etc.

Los únicos ataques posibles son directamente a través de Internet, y ningún tráfico desde detrás del dispositivo NAT visitará un sitio controlado por usted.

En esta configuración, hay un modo de que un atacante se conecte a una máquina en el otro lado del enrutador.

Me doy cuenta de que esta es una pregunta muy teórica de que la seguridad nunca se trata de atacar una sola cosa. Los ataques siempre tratan de encontrar el eslabón más débil en un sistema. Sin embargo, sin esas preguntas teóricas, conoceríamos las vulnerabilidades contra las que debemos protegernos.

(Sin embargo, si soy totalmente honesto, esta pregunta se trata tanto de decir "demuéstralo" a los que dicen que NAT no ofrece ninguna seguridad)

Como una extensión de la pregunta anterior, cuál de las reglas anteriores debería eliminarse o ajustarse para crear un vector de ataque realista.

    
pregunta Michael B 01.11.2015 - 11:55
fuente

1 respuesta

2

Dado que NAT solo permite respuestas a la conexión de salida, no es posible realizar ataques directos desde afuera hacia adentro. Pero los ataques simples de denegación de servicio son todavía posibles. Y mientras que (D) DOS no afecta directamente a la red interna, puede provocar una denegación de servicios críticos que necesitan acceso al exterior, como el teléfono (VoIP) o servicios para el hogar inteligente .

  

... y ningún tráfico desde detrás del dispositivo NAT visitará un sitio controlado por usted.

Al menos si usa un navegador detrás de un firewall de este tipo, esta suposición probablemente sea incorrecta porque podría incluir un enlace a una dirección IP local en un sitio web externo o hacer que un nombre de host externo se resuelva a una dirección IP interna. Esto se usa realmente en la práctica por Spotify y otros para fines no relacionados con ataques, pero, por supuesto, también se pueden utilizar para ataques para evitar el mismo política original o a comprometer el enrutador desde adentro .

    
respondido por el Steffen Ullrich 01.11.2015 - 12:18
fuente

Lea otras preguntas en las etiquetas