Doplním, že útok z vnější sítě na počítač za NATem (pokud nejsou protunelované porty) je poměrně složitá technika, kterou script kiddies obvykle nezvládají.
Rozdíl je cca následující:
Přímý útok na počítač s veřejnou adresou:
- pustím portscan z nějakého počítače, zjistím otevřené porty, AUTOMATICKY provedu jednoduchý port knocking na oblíbené číselné kombinace (funguje to sice zřídka, ale funguje, obvykle se blokuje SSH)
- sejmu bannery toho, co tam běží a porovnám to s těmi, které už mám
- pokud zjistím zranitelnost, můžu pokračovat
Počíták za NATem:
- musím nějak přesvědčit tu krabičku s NATem, že server chce komunikovat zrovna se mnou, což kolikrát není úplně jednoduché
- pokud se mi to povede udržet, sice se mi nepovede portscan, ale někdy se dá na určité služby dobouchat
Musím říct, že ale nejsem žádný úberhacker, možná že tu má někdo úber tool na přeskakování NATu.
Výsledek: hodně zářezů v přímém útoku, 0 na mašinu za NATem, kdy cíl neměl přesměrované porty
Musím říct, že všechny zranitelnosti poctivě jako správný whitehat hlásím správcům těch strojů a že si nebuduju privátní zombie net.
Také mě to už nebere tolik co před pár lety.
Pokud krabka pouze NATuje a neni to zaroven (alespon trochu rozumne nastaveny) firewall, je kontakt stroje uvnitr naprosto trivialni operace. IPcko ziskam jednoduse - staci kdyz mi nouma prijde na web, a prohlizec ho vykeca, pak uz mi jen staci na jeho verejnou IP poslat paket, kde bude cilem privatni IP - router s nim nalozi zcela normalne = odroutuje ho => klido muzu i scanovat porty.
2Rax: Ne, NAT nechrani nic a proti nicemu.
Přijde IPv6, router vyhodíš, protože nebyl IPv6 kompatibilní a provider ti řekne, že už ho stejně k ničemu nepotřebuješ, že ti stačí switch a situace se radikálně změnila. Kdo se má postarat o bezpečnost?
50 % uživatelů internetu v ČR nemá doma žádnou krabičku ani NAT ani firewall, prostě má UTP kabel z modemu do počítače nebo z routeru ve sklepě přímo do počítače a to už několik let a nic zvláštního se neděje.
ISP je tady od routování a směrování paketů. Bezpečnost internetu si každý účastník internetu musí řešit sám.
Souhlas, ale slusnej provider nabidne firewall jako sluzbu (za nejaky ty $$$).
30 Odpovědí
5349 Zhlédnutí