web-dev-qa-db-ja.com

NATルーターのループバックはセキュリティ上の問題ですか?

一部のDSLルーターはNATループバックを防止します。セキュリティが理由として引用されることがあります。NATループバックは本当にセキュリティの問題ですか?その場合、これはどのように悪用されますか?

NATループバック... LAN上のマシンがLAN /ルーターの外部IPアドレスを介してLAN上の別のマシンにアクセスできる場合(LAN上の適切なマシンにリクエストを転送するためにルーターにポート転送が設定されています) 。 NAT loopbackを使用しない場合、LAN上にあるときはデバイスの内部IPアドレスを使用する必要があります。

編集:セキュリティについての言及は非公式な情報源から認められたものであるため、これを明確にしたいと思います...

BTコミュニティフォーラム から:

これは故障ではありません。これはセキュリティ上のリスクがあるため、ほとんどのルーターは同じインターフェイス(ループバック)でデータを送受信しません。

そして 同じページのさらに下 、同じユーザーから:

ネットワークエンジニアとして、私は毎日CiscoおよびBrocadeルーターを使用していますが、これらのルーターは固有のセキュリティ問題のためループバックを許可しません。 BTは、セキュリティが非常に重要であるアプローチを採用しており、エンタープライズクラスのルーターと同様に、ループバックは許可されていません。

NAT Loopback Routers のページから:

多くのDSLルーター/モデムは、セキュリティ機能としてループバック接続を防ぎます。

正直なところ、これまでは、サポートの失敗は常にNATループバックはハードウェア/ファームウェアの失敗であり、「セキュリティ機能」ではないものだと思っていましたか?!省略ははるかに大きいです問題IMHO。(推測していない場合、私のルーターはNATループバックをサポートしていません。)

10
MrWhite

ほとんどのコンシューマーグレードのルーターはそれを禁止するものではなく、機能しません。

次のシナリオを想像してみてください。これは仮想的なものではなく、自分のコンピュータでtcpdumpを実行するだけで、すぐに実行されます。確認のために、バッファローddwrtからキャプチャしたものです。

プレーヤー:[ルーター:10.0.0.1] [コンピューター1:10.0.0.3] [コンピューター2:10.0.0.4]
外部IP:99.99.99.99、Computer2に転送

  • Computer1からルーター[10.0.0.3-> 99.99.99.99]

  • ルーターはDNATを使用して宛先を10.0.0.4に変更し、ローカルネットワークにプッシュします
    Router to Computer2 [10.0.0.3-> 10.0.0.4]

  • Computer2は、ソースIPに送信することでパケットに応答しようとします。
    Computer2 to Computer1 [10.0.0.4-> 10.0.0.3]

  • コンピュータ1:WTF?
    Computer1は99.99.99.99からの応答を期待していましたが、代わりに10.0.0.4からの応答を受け取りました。アドレスが一致しない、接続エラー、RSTパケットが返送された

さて、あなたは尋ねます、なぜそれがComputer2にそれをDNATするとき、ルーターはComputer1からルーターの内部IPへの接続をSNATしないのですか? SNATルールは、上記のパターンに従わないトラフィックの残りすべてを混乱させるためです。

SNATは、NAT邪魔しないルールセットの作成と維持に多くの時間と注意を払う用意がある場合を除いて、実際には一方向にのみ使用する必要があります。

そして、これについてどのように言っている誰でも先制する:

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 10.0.0.0/24 -j MASQUERADE

このルールは、NATループバックトラフィックだけでなく、bridgeトラフィック(WiFiネットワークから有線ネットワークなど)にも影響することを指摘します。 WiFiルーターがイライラして壊れるでしょう。ルールはループバックトラフィックのみに一致するように調整する必要がありますが、これは少しトリッキーであり、おそらくパケットのマーキングが含まれます。不可能ではありませんが、ほとんどのルーターで行われるようなエンジニアリングやデバッグはできません。そして確かに危険に満ちています。

用語集:
[〜#〜] snat [〜#〜] =ソースNAT(ソースIPの変更)
[〜#〜] dnat [〜#〜] =宛先NAT(宛先IPの変更)
[〜#〜] nat [〜#〜] =ネットワークアドレス変換

11
tylerl

これの技術的根拠が見つかりませんNATループバックセキュリティ問題の主張。=)

初期の頃に覚えている唯一のループバックの問題は、cat5eのRJ45の両端を同じスイッチに接続して、LANの接続を混乱させることでした。当時はループバックと呼んでいました。しかし、それはセキュリティの問題というよりはかなり技術的です。

2
John Santos