VMのバックトラック5-なぜNATを介したブリッジネットワークですか？

NATモードの場合、ハイパーバイザーのネットワークサブシステムは、パケットがホストを離れるときにパケットを変更することによって動作します。イーサネット上のTCP/IPを想定すると、変更されるコンポーネントは次のとおりです。

• 送信元アドレス
• ソースMAC
• 通常TTL
• しばしばソースポート

場合によっては、他のTCPフラグもDF、ウィンドウサイズなどのように変更されます。

正常に動作するネットワークでは、これらのフラグとオプションはすべて、RFCに従って意味のある方法で設定されているため、その内容を適切に変更できます。ただし、脆弱性評価ツールは、非準拠および誤動作の方法で物事を行うことによって動作します。そのため、通常は許容されるヘッダーとプロトコルの変更により、ソフトウェアが実際に結果を誤って解釈する可能性があります。

OS検出を例に考えてみましょう。システムは、正常なパケットと異常なパケットの組み合わせをシステムにスローします。ほとんどのOSで使用されるネットワークスタックはよく知られているため、成功と失敗の両方の状況でそれらの応答を予測できます。そのため、評価ツールは応答を受け取り、OS検出テーブルでそれらを調べ、それらの応答に基づいて、リモートホストが実行していると考えるものについて推測します。 NATデバイスは、送受信されるすべてのパケットを変更することで機能するため、データを汚染します。

さて、ほとんどの場合、データはまだ完全に良好である可能性があります。ただし、パケットは評価ツールの外部で変更されるため、ツールは必ずしも変更が行われたことを認識しません。結果として、結果が無効になる可能性のある誤ったデータに対してツールが分析を実行するリスクを負います。

関連する注記では、歴史的には、同じ理由で脆弱性評価システムでホストファイアウォールを実行しないことが推奨されています。ファイアウォールは設計上、異常なトラフィックを吐き出し、ファイアウォールは異常なトラフィックから保護するように設計されているため、ファイアウォールが評価ツールによって予期しない方法で何かをドロップする可能性があります。 NATの例と同様に、これも結果を無効にする可能性があります。