web-dev-qa-db-ja.com

純粋なNATファイアウォールなしの脆弱性

this に関するいくつかのコメントに続いて、NATのセキュリティの脆弱性に興味を持ちました。同様のスレッド herehere がありますが、これらは直接NAT脆弱性ではなく)ルーターの脆弱性について説明します。

そのため、インターネットに直接接続されているルーターがあるとします。ルーターには、NATの動作に明示的に必要とされていない構成はありません。ルーターはまた、公開する可能性のあるポートに直接の脆弱性はありません(つまり、強力なパスワードポリシー/ロックアウトを備えた巧妙に設計されたHTTPインターフェイスを持っています)。また、ルーターで有効になっているポート転送もありません。もちろん、ワイヤレスネットワークも接続されていません。

可能性のある唯一の攻撃はインターネットを介した直接攻撃であり、NATデバイスの背後からのトラフィックはあなたが管理するサイトにアクセスしません。

この構成では、攻撃者がルーターの反対側のマシンに接続する方法が存在します。

これは非常に理論的な質問であり、セキュリティは決して単一のものを攻撃することではないことを理解しています。攻撃は常に、システム内の最も弱いリンクを見つけることです。ただし、これらの理論的な質問がなければ、保護する必要のある脆弱性がわかります。

(私が完全に正直なら、この質問は、NATはまったくセキュリティを提供しないと言う人に「それを証明する」と言うことと同じくらい重要です)

上記の質問の拡張として、現実的な攻撃ベクトルを作成するには、上記のルールのどれを削除または調整する必要があります。

8
Michael B

NATは送信接続への応答のみを許可するため、外部から内部への直接攻撃はできません。しかし、単純なサービス拒否攻撃は依然として可能です。(D)DOSは内部ネットワークに直接影響しません電話(VoIP)や スマートホームサービス など、外部へのアクセスを必要とする重要なサービスの拒否につながる可能性があります。

... NATデバイスの背後からのトラフィックは、あなたが管理するサイトにアクセスしません。

少なくともこのようなファイアウォールの背後にあるブラウザーを使用する場合、外部IPアドレスへのリンクを単純に含めるか、外部ホスト名を内部IPアドレスに解決させることができるため、この仮定はおそらく間違っています。これは、実際には Spotify などの非攻撃目的で使用されますが、もちろん 同じ元のポリシーを回避する または への攻撃にも使用できます。内部からルータを危険にさらす

2
Steffen Ullrich