Un compañero de trabajo afirma que el simple hecho de habilitar el reenvío de IP en una única máquina de Linux tiene un riesgo de seguridad, ya que dice que podría utilizarse como un proxy.
No puedo pensar en cómo funcionaría esto, excepto tal vez si otra máquina en la misma LAN lo establece como una puerta de enlace. ¿Hay un riesgo aquí que no puedo ver?
Por lo que puedo ver, no funcionaría muy bien. Proxying (así como SNAT / enmascaramiento) requiere mucho más que un simple reenvío de IP.
Veamos, digamos eso
192.168.1.3 es Eve
192.168.2.2 es Bob.
Eve pone a Alice como su puerta de entrada, y le hace un ping a Bob. El paquete llega a Alicia, que luego lo envía a la puerta de entrada real, desde donde llegará a Bob marcado como el de Eva. Bob respondería y la respuesta se enviaría directamente a Eve, sin pasar por Alice.
Así que Bob nunca sabrá lo que sucedió y responsabilizará a Eve por lo que hizo.
Lo único es que ahora Alice puede escuchar a escondidas un lado de la conversación.
Así que ahora Eve forja un paquete que viene de Alice. Alice recibe un paquete de su propia dirección que viene del exterior y, con toda probabilidad, lo suelta.
Eve podría falsificar un paquete que pertenecía a Charlie, pero entonces, podría hacerlo incluso antes, sin el respaldo de Alice. En realidad, ella podría forjar a cualquiera en la red local; Al establecer a Alice como la puerta de entrada, ahora está peor, ya que puede falsificar a cualquier excepto Alice.
Si tiene alguna forma de prever las respuestas de Bob, puede participar en una falsificación ciega de la conversación (pero, una vez más, podría hacerlo antes), si puede lograr que Charlie lo haga. no responde abortando la conexión, y que la puerta de enlace no informa a Bob de que Charlie no está disponible. Además, para los protocolos de conexión como TCP, "prever las respuestas de Bob" no es tan fácil a menos que la pila TCP de Bob sea vulnerable a la predicción.
Si la puerta de enlace real tiene seguridad, ahora puede hacer que parezca que Alice estaba falsificando un paquete de Charlie, de modo que la puerta de enlace real detecte la falsificación y crea que Alice es la responsable.
Este último parece el "ataque" más factible al que Alice se expone al proporcionar servicios de reenvío.
Si es un homed único, ¿por qué habilitaría IP_Forwarding? Supongo que querría reenviar el tráfico de un nic a otro. Si tuviera una máquina de múltiples ubicaciones, entonces su máquina podría potencialmente ser utilizada como un proxy en su red. Yo lo llamaría un punto de pivote o un cuadro de salto en su red interna. Pero como solo hay una interfaz, no estoy seguro de por qué debería habilitar esa función.
Lea otras preguntas en las etiquetas network