web-dev-qa-db-ja.com

NAT経由でインターネットに接続している場合、誰かが私のPCをハッキングするにはどうすればよいですか?

私がプライベートIPアドレスを所有していて、そのために192.168.2.1であり、ルーターに物理的に接続されている場合、その内部インターフェイスは192.168.2.254で、外部インターフェイスは、ISPのDHCPから取得したパブリックIPアドレスですサーバ。

明らかに私のIPはNATを介して翻訳されているので、インターネットを閲覧できます。

では、どのようにして私のコンピュータにハッキングできるのでしょうか?

OSIモデルの観点から見ます。

  • レイヤー1-無関係
  • レイヤー2-ARP攻撃、私の家に住んでいて同じネットワークを共有している人のみ、議論の目的には関係ありません
  • レイヤー3/4-ええと、私のIPはプライベートIPなので、開いているポートや脆弱性を人々が実際に調査することはできませんよね?彼らはおそらく私のルーターを調査できますが、これは単なる「ISPスマートボックス」であり、実際にはルーターではありません(Wifi APとしても動作するため、人々は何かを実行するためにクラックする必要があります)
  • レイヤー5以上-これらは私が攻撃に対して脆弱になる唯一のレイヤーですよね? XSSから他の何かに及ぶ?
13
Franko

一般的に言えば、ほとんどのNATボックスは、ファイアウォールのような保護も提供します。それらは着信接続をブロックする傾向があります。

これは、NATの固有または必須のプロパティではありません。 NATを提供するほとんどのコンシューマデバイスもこの種のファイアウォールを提供しているだけです(技術的に言えば、 NATは必ずしもブロックを意味するわけではありません)着信接続の数 。)

それにもかかわらず、NAT着信接続をブロックするデバイス(つまり、それらのほとんど))の場合、ファイアウォールのいくつかの利点が得られます。これにより、誰かが背後のPCに接続するのが難しくなりますNATそして攻撃します。実際には、これは一種の「貧乏人のファイアウォール」を提供し、一般的なクラスの攻撃に対してかなりうまく機能します。

ただし、NATは特効薬ではありません。NATであっても、人々はさまざまな方法でPCを危険にさらす可能性があります。

  • 悪意のあるWebサイトはブラウザーの脆弱性を悪用する可能性があり、悪意のあるメールはメールクライアントの脆弱性を悪用する可能性があります。ソーシャルエンジニアリング攻撃は、パスワードを明らかにしたりマルウェアをインストールしたりする可能性があります。ファイル共有ネットワーク経由でダウンロードしたファイルは、悪意のある、など。

  • 攻撃者は、NATボックスを直接攻撃する可能性があります。たとえば、オープンWifiリンクを悪用したり、ドライブバイファーミングを使用したり、NATボックスの管理者パスワードを推測したりして、等.

  • 攻撃者は、 NATピン攻撃 を使用して、インバウンド接続を許可するようにNATを欺く可能性があります。これは基本的に技術的ですNATボックスの脆弱性。これらのボックスの偶発的な接続ブロックが、場合によっては無効になる可能性があることを示しています。

これらすべてのポイントの詳細については、 への回答をお読みになることをお勧めしますNATセキュリティレイヤーとして重要ですか?ホームルーターに対するどのような種類の攻撃NAT存在しますか? 。多くの良い情報があります。そこ。

12
D.W.

レイヤー

OSIレイヤーを見るのはここでは役に立ちません。インターネットはIPのみをルーティングするため、IPプロトコルの下の層に対して脆弱ではない可能性があります。そして、あなたは潜在的に上のすべての層に対して脆弱です。実際には、ほとんどの脆弱性はアプリケーション層にあります。

むしろ、着信接続と発信接続に分けて問題を調べたいと思います。

発信接続

NATは、IPアドレスの書き換えを除いて、それらに干渉しません。 NATなしで脆弱である場合、NATの場合、ほとんどの場合ここで脆弱になります。

典型的な脆弱性は、インターネットへのアクセスに使用するアプリケーションのバッファオーバーフローです。特にお使いのブラウザ、またはブラウザのプラグインで。

着信接続

デフォルトでは、NATはインターネットからのすべての着信接続をブロックします。これは、コンピューターで何らかのサーバーを実行している場合、インターネットからアクセスできないため、そこから簡単に悪用することができないことを意味します。これは、主にWindowsファイル共有などのサーバーで役立ちます。

ただし、これを取得するためにNATは必要ありません。着信接続をブロックするファイアウォールを使用することもできます。

結論

セキュリティの点で主なNATが得られるのは、誤って実行しているサーバーをブロックすることです。


DPの着信/発信接続を定義するのは少し難しいです。しかし、ホールパンチングでは、特定のピアからのメッセージを受信する前にメッセージを送信する必要があるため、これらの接続をこのコンテキストで発信としてカウントします。 =

2
CodesInChaos