NAT není zabezpečení

[unicast]

Když jsem před roky prostřednictvím mypower vybízel lidi aby psali stížnosti na ERU , když hrozilo
dramatické zvýšení plateb za jistič, tak najednou na stránkách mypower mně hlásil antivirus mého PC , že stránka
mypower je zavirovaná. Psal jsem tehdy adminovy a ten mně ujistil, že je vše v pořádku, že nic nevidí. Znovu jsem se tehdy najel na www stránky mypower a PC se mně rozsypal a vymazal jsem se mně na PC antivirový program. Ten se musel obnovit
Ten člověk co mně dal PC do pořádku, řekl, že existují adresné viry na konkrétní
IP adresu co se zavěsí na www stránku , jiné PC takový adresný virus nevidí. Admin tvrdil, že možné to není. Ale tato událost se skutečně stala.

To může být koincidence, mypower určitě není jediný web, kam lezeš a taky ti určitě chodí spousta mailů atd. Mimochodem naprostý základ je mít pořádně zabezpečený vlastní stroj. A nemít na něm pokud možno ementál zvaný Windows, v libovolné verzi OpenBSD by ti jen tak nějaká lama neprobořila, OS/X ostatně taky ne.

Cloudflare umí dost, ale nechají si za to pořádně zaplatit.

[glottis]

Kdyz je user jelito, nepomuze ani pocitadlo

[TomHC]

A nemít na něm pokud možno ementál zvaný Windows, v libovolné verzi OpenBSD by ti jen tak nějaká lama neprobořila, OS/X ostatně taky ne.

Stačí nebyť blbec, sedieť za NATom a mať aktívny firewall a antivírus... Ale to prvé je najdôležitejšie.

[unicast]

Tak znovu, po miliónté sedmé. NAT není bezpečnostní prvek a žádné bezpečí nezajišťuje, jen jeho iluzi. Útočník se do vnitřní sítě dostane třeba přes nějaké zranitelné IoT zařízení. Klidně může použít existující známé spojení tohoto zařízení do cloudu, takže firewall nic nepozná. Antivirus? Ano, pokud je to na neuronové síti postavený CrowdStrike nebo Sentinel One. Běžné antiviry založené na databází známých virů jsou proti samomodifikujícím se nebo na zakázku vytvořeným trojanům k ničemu. No a nejlepší je systém, jehož vektory potenciálních zranitelností jsou výrazně odlišné od systémů, které v cíli útoku útočník očekává

Nicméně to jsme se dostali od DDoSů k obecné kyberbezpečnosti. U DDoSů jsou často firewally ve formě samostatných krabiček naopak na škodu, protože se zpravidla ucpou jako první. Fakt to nejde shrnout na jednu řádku a za nejdůležitější považovat "nebýt blbec".

[Soban]

Samostatná krabička pro ddos je v pohodě, tam je jeden problém že to co koupíš většinou nemá tu propustnost na 10G spoje a nebo je to moc drahé.

A jinak NAT nic neřeší!

[lzahradil]

Já na to ještě také zareaguju, když jste to nakousli, protože téma bezpečnosti by se obzvláště v této době nemělo vůbec podceňovat. A pokud by mělo téma dál pokračovat, tak to oddělíme kde se o tom můžeme pobavit více jako osvětu pro ty co neví.

NAT skutečně není žádným bezpečnostním prvkem.
To že si lidé kteří nejsou úplně z oboru myslí, že NAT je nějaké zabezpečení, je díky tomu že je pravdou a dříve se to tak lidem prezentovalo.
Pokud to vezmu z jednoduché domácí sítě např o 2 PC které se potřebovali dostat na internet.
Dříve se řeklo lidem, potřebuješ koupit krabičku (router) do toho zapojíš oba počítače a připojení k internetu. Funguje to tak, že oba počítače se "schovají" za tu krabičku a pro internet (poskytovatele) se to tváří jako by se jednalo o počítač jeden. Tím je síť i zabezpečená z internetu, protože když by chtěl někdo útočit z internetu, nedostane se na ty jednotlivé PC ale na tu krabičku kde přece žádná data k útoku nejsou.
Taková byla realita a teď ta praxe, že to úplně tak růžové není a o žádné zabezpečení se nejedná. A že si troufnu říct že 99% levných SOHO routerů tak bude fungovat i dnes, což je na pováženou...

Dáme si modelový příklad.
Dejme tomu že máte připojení od nějakého wifinkáře kde je reálná šance že se lze dostat datově na vrstvu vašeho WAN rozhraní té vaší krabičky s NATem (router).

Pro příklad si uvedeme i nějaký postup.
Od poskytovatele budete mít na WAN rozhraní přidělenou IP např 10.0.0.5. Na LAN rozhraní budete mít 2 PC. Router bude mít adresu 192.168.1.1 a první PC bude mít 192.168.1.2 a druhý 1.3.
Já budu útočník (třeba soused) který je připojen u stejného poskytovatele. Budu mít teda adresu např 10.0.0.7.

Budu se chtít dostat do tvého PC který má tu IP 192.168.1.2..
Normálně to nepůjde, pokud ji zadám, provoz půjde k poskytovateli pomocí defaultní brány a ten lokální subnety odfiltruje (ehm, spoustu garážníků na to dlabe..).
Pokud si ale nastavím routu, že ten tvůj PC se nachází za adresou tvého routeru, provoz nepůjde k poskytovateli ale směrem na tvůj router. A ten mě tam díky NATu pustí a ještě když budeš zjišťovat co se to děje, tak uvidíš že tě vlastně napadá adresa tvého routeru a ne já
Kdo si to chce vyzkoušet, může. Samotného by mě zajímalo, kolik výrobců routerů to tak stále má i přesto že vydávají občas i nějaké ty aktualizace (které stejně nikdo neinstaluje protože většina má router hozený někde pod stolem nebo za skříní v haldě prachu, protože dokud to funguje tak co bych s tím dělal...)

Pro modelový příklad lze vyzkoušet zadáním do příkazové řádky:
Z win:
route add 192.168.1.0 mask 255.255.255.0 10.0.0.5

Z Linuxu:
route add -net 192.168.1.0/24 gw 10.0.0.5
nebo
ip r s a 192.168.1.0/24 via 10.0.0.5

Teď už si stačí zadat adresu počítače např s win se zapnutým sdílením a jsem tam. Pokud teda na daném PC bude vypnut firewall nebo nastaven kvůli sdílení pro přístup jen z domácí sítě (to adresa mého routeru přece je...

Případně druhý příklad.
Jsem záškodník co nechce platit poskytovateli za internet. Na černocha jsem našel třeba na chodbě switch kam jsem si zapojil kabel, čímž jsem se dostal na síť. Zjistil jsem si že je volná ta modelová IP 10.0.0.7 tak jsem ji použil. Ale poskytovateli neplatím takže mi na ní nepustil internet.
Tak využiju toho platícího souseda a jeho krabičky. Nenastavím si defaultní bránu na poskytovatele (10.0.0.1) ale nastavím ji na souseda (10.0.0.7).
Opět věřím tomu, že veliké procento krabiček mi ten internet zpřístupní a pro poskytovatele se budu vydávat jako legitimní platící soused.
Tahle volovina funguje u tplinku, UBNT a určitě i u ostatních.

A to jen díky tomu slavnému NATu a absence dalších pravidel ve firewallu.
Přitom stačí tak málo...

Pořád si někteří myslíte že je NAT nějaké zabezpečení?

[TomHC]

Mal som na mysli situáciu, kde ti provider priradí privátnu IP (napr. 10.0.0.x), tvoj router urobí druhý NAT (192.168.0.x) - kto sa z WAN dostane ku tebe domov? Ak nemá priamy prístup do tej zmršenej WiFi siete dedinského providera... Napríklad nejaký botnet, alebo zombie PC v Keni.

[unicast]

Mal som na mysli situáciu, kde ti provider priradí privátnu IP (napr. 10.0.0.x), tvoj router urobí druhý NAT (192.168.0.x) - kto sa z WAN dostane ku tebe domov? Ak nemá priamy prístup do tej zmršenej WiFi siete dedinského providera... Napríklad nejaký botnet, alebo zombie PC v Keni.

Jenomže on ho má. Třeba k sousedovu zavirovanému routeru, co vidí jako sousední adresu v rámci toho transportního rozsahu '10.0.0.x' a to pak naprosto stačí. Vůbec nejhorší je, když je krabička přednastavená tak, že to nějak funguje. Pak už do toho nikdo nemá potřebu zasahovat, prostě to zapne, ono si to získá pomocí DHCP adresu na WAN interface, na LAN interface se nehodí nějaký implicitní RFC1918 rozsah, třeba 192.168.0.0/24 nebo neslavný 192.168.88.0/24, že by se to mělo nějak zabezpečit, aby se nešlo přihlásit po WAN portu a změnit do toho administrátorské heslo, to už 80 % uživatelů takových boxíků neřeší a na průser je zaděláno. Pak si dotyčný stěžuje na to, že mu jeho operátor škrtí pásmo a funguje mu to blbě a "okrádá ho" a ona je při tom chyba někde úplně jinde. Naprosto běžný, každodenní stav.

[lzahradil]

z toho duvodu se utoci prave na ty nezabezpecene routery. Aby mel utocnik pristup i do tech neverejnych siti kde uz si muze delat co chce.
A ten z Keni se tam dostane treba tak, ze si soused priplatil za verejnou IP ktera otevre celou dedinskou sit...
Vetsina totiz vse necha na neverejne IP a jen udela SNAT/DNAT kde ti z hlavni GW na tu privatni posle ten verejnej provoz. To z duvodu, aby routovanim neprichazel o IP adresy (subnet a broadcast) pokud neumi PPPoE

[yolo80]

A to jen díky tomu slavnému NATu a absence dalších pravidel ve firewallu.
Přitom stačí tak málo...

Pořád si někteří myslíte že je NAT nějaké zabezpečení?

Akurat ze to o com pises v celom prispevku nie je NAT ale routing a je na nom zalozeny cely internet.

[lzahradil]

to co jsem popisoval funguje jen díky tomu NATu a nespecifikování z kterého vstupního rozhraní nebo zdrojových adres jej má provádět + případné filtry na forwardované spojení... route jsem použil jen k tomu, abych v příkladu odsměroval provoz mimo defaultní routu na tu "krabičku".
Cílem bylo ukázat že lze jednoduše zneužít a že to není žádné zabezpečení které samo o sobě ochrání NATované PC v lokální síti.

Routing jako takový zachovává původní zdrojové IP adresy.

[Mex]

...
Budu se chtít dostat do tvého PC který má tu IP 192.168.1.2..
Normálně to nepůjde, pokud ji zadám, provoz půjde k poskytovateli pomocí defaultní brány a ten lokální subnety odfiltruje (ehm, spoustu garážníků na to dlabe..).
Pokud si ale nastavím routu, že ten tvůj PC se nachází za adresou tvého routeru, provoz nepůjde k poskytovateli ale směrem na tvůj router. A ten mě tam díky NATu pustí a ještě když budeš zjišťovat co se to děje, tak uvidíš že tě vlastně napadá adresa tvého routeru a ne já
Kdo si to chce vyzkoušet, může. Samotného by mě zajímalo, kolik výrobců routerů to tak stále má i přesto že vydávají občas i nějaké ty aktualizace (které stejně nikdo neinstaluje protože většina má router hozený někde pod stolem nebo za skříní v haldě prachu, protože dokud to funguje tak co bych s tím dělal...)

Pro modelový příklad lze vyzkoušet zadáním do příkazové řádky:
Z win:
route add 192.168.1.0 mask 255.255.255.0 10.0.0.5

Z Linuxu:
route add -net 192.168.1.0/24 gw 10.0.0.5
nebo
ip r s a 192.168.1.0/24 via 10.0.0.5
...

To Tě jako ten NAT nechá proroutovat skrz sebe zvenku dovnitř?

Obecný princip NATu je snad ten, že povolí otevření spojení jen zevnitř. Toto otevřené spojení si uloží do tabulky a zvenku povolí jen provoz na některém spojení z této tabulky. U kterého pak současně provede změnu (přeNATování) adres.

Takže aby ses nějak prolomil přes NAT, musel by ses vlomit do některého dříve otevřeného kanálu, ne?

Pomiňme teď jiné metody typu defaultní hesla, známé zranitelností některých zařízení a podobně.

[cipis]

Já si také myslím, že to bude fungovat jen, když tam bude obyčejný router, ne NAT s maškarádou.

Mnou kdesi zaznamenaný útok na jakýsi TPlink byl v tom, že měl otevřený management i na veřejce, no a ti kokoti v tplinku tam měli natvrdo někde v kódu jméno/heslo. Něco na způsob prastarých ovislinků super/super a super/super123 ...
Útočník si pak vesele přeprogramoval ten TPlink a vytěžil 50 Mbit do mrtě. Ale ještě tak chytře, že když někdo chtěl na internet, tak ho tam pustil. Takže kdo byl za tím TPlinkem, tak vůbec nic nepoznal, protože mu to jelo všechno normálně. Poznalo se to až podle toho, že lehl provoz na druhém routeru, na kterém byla jiná veřejka, který ale byl šejpovaný na těch 50/50 dohromady s tou první.

[glottis]

To Tě jako ten NAT nechá proroutovat skrz sebe zvenku dovnitř?

Obecný princip NATu je snad ten, že povolí otevření spojení jen zevnitř. Toto otevřené spojení si uloží do tabulky a zvenku povolí jen provoz na některém spojení z této tabulky. U kterého pak současně provede změnu (přeNATování) adres.

Takže aby ses nějak prolomil přes NAT, musel by ses vlomit do některého dříve otevřeného kanálu, ne?

Pomiňme teď jiné metody typu defaultní hesla, známé zranitelností některých zařízení a podobně.

Necha. Ale prijde mi ze pulka lidi se tu bavi o voze a druha o koze.

Uplne samotny NAT, at uz masquarade a nebo SNAT opravdu nicemu nebrani. Proste vezme prichozi packet, prepise v hlavickach zdrojovou ip a posle to ven. Neresi se vubec opacny smer. A na tohle tu pulka lidi poukazuje, ze NAT nicemu nebrani.

Druha pulka lidi tu pise o NAT jako necem, co si zapnou na routeru/firewallu. Jenze ten checkbox nebo prepinac modu neudela jen NAT ale nastavi jeste spoustu veci navic. Nejak nastavi firewall, pozapina kdo vi jake kontroly (rp filtr, antispoofing, routing) a funkce v kernelu. U ;evnych tonda krabicek pak nikdo nevi jak presne to cinan nastavi, jakej kernel tam je a s jakejma patchema. Aktualizace nikdy nevyjde. Pak se muze klidne stat, ze zretezenim zranitelnosti se nejakou cestou utocnik dovnitr dostane.

Jestli se povede NAT prostrelit nebo ne pak zavysi na spouste veci. I na providerovi, jak naklada s provozem, jestli filtruje spravne provoz. Nekteri provideri bohuzel nejsou nejostrejsi tuzky v penale. Ale prostoupeni natem tak jak je neni ten hlavnikanal, jak se utocnik dostane dovnitr. Vetsinou to je jinou dirou. Treba v managmentu routeru, vystrcenou jinou web aplikaci s dirou a nebo proste socialnim inzenyrstvim.

[unicast]

Obecný princip NATu je snad ten, že povolí otevření spojení jen zevnitř. Toto otevřené spojení si uloží do tabulky a zvenku povolí jen provoz na některém spojení z této tabulky. U kterého pak současně provede změnu (přeNATování) adres.

Ach jo, "snad"... Pak to s tou security nemá vypadat tak, jak to s ní vypadá

NAT znamená "network address translation". Vidíš tam někde něco o zahazování packetů?
Dokonce i příslušné RFC2663 nepoužívá jednoznačně slovo MUST, ale jen MAY:

Applications that do not meet these requirements may be dropped using firewall filters.


Čili záleží to jen na autorovi té které implementace, jestli si ohlídá nežádoucí příchozí packety na vstupu. Pokud to budeš konfigurovat na Linuxu, nejdřív si ve FORWARD chainu na vnějším (říkejme mu třeba WAN) interface musíš dropnout všechny příchozí packety, které mají cílovou adresu na vnitřním, překládáném (LAN) rozsahu. Nějak takhle:

iptables -I FORWARD -j DROP -d 192.168.0.0/16 -i eth1
a teprve pak dát

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Který z výrobců těch low cost čínských krabiček tohle dělá?

[Soban]

Bráchovi jsem dal tp-link měl ho několik let a pak si stěžoval že nestíhá tak jsem mu dal mikrotik a z prdele jsem nechal logovat příchozí provoz a nestačil se divit kolik útočníků se snažilo probojovat dovnitř a to ten tp-link nedal.

[lzahradil]

Téma jsem oddělil do nového

Nepsal bych nic, co nemám vyzkoušené a v příkladu který jsem popisoval to tak skutečně funguje. Bohužel.

Jak jsem již psal, pokud není u NATu alespoň definována zdrojová adresa/subnet té sitě kterou NATovat, případně odchozí LAN rozhraní (správně by to měl být WAN port), pak NAT funguje obousměrně.
Zmínka o navázaných spojeních je jasná. Pokud ale NAT reaguje i obráceně, k navázání spojení dojde i z WAN portu směrem do LAN sítě.

A to proč jsem reagoval zrovna tímto příkladem?
Díky špatně nastavenému NATu si dokážeš zpřístupnit i tu svoji domácí síť. To jsem popisoval např. Windowsím sdílením kde díky této chybě nepomůže ani integrovaný Microsoft firewall na počítači.

Proč?
Zjednodušeně popíšu zase na tom příkladu s WIN sdílením souborů.

Pokud nastavujete sdílení, windows na vás vyhodí hlášku že je potřeba nastavit vyjímky ve firewall pravidlech aby byl PC dostupný pro sdílení souborů. Může si to každý nastavit i ručně, ale spoustu lidí tomu nerozumí a tak vybere předdefinovanou volbu "Povolit jen z domácí sítě" s tím že to je OK a mají zabezpečeno.

Jenže.
Pokud je chyba v routeru a je tam špatně nastaven zrovna ten NAT, tak z příkladu který jsem uvedl v předchozích příspěvkách se stane to, že útočníkův provoz zvenčí bude zaNATován za ten router a v tom okamžiku bude mít útočník adresu LAN rozhraní routeru (192.168.1.1) a ta je součástí "domácí sítě", tzn firewall na PC se zapnutým sdílením tímto okamžikem nic neblokuje.

Takto jednoduše lze zneužít jen pouhého NATu o kterém si někteří myslí že NAT je nějakým zabezpečením. Naopak.

Technik je samozřejmě mnohem více.

Pak jsou samozřejmě takové o kterých tu také píšete. Útočníci se snaží útočit na nezabezpečené krabičky z důvodu, aby je zneužili k vytvoření nějakého bota který na povel začně iniciovat třeba ten DDoS útok.

[Mex]

Obecný princip NATu je snad ten, že povolí otevření spojení jen zevnitř. Toto otevřené spojení si uloží do tabulky a zvenku povolí jen provoz na některém spojení z této tabulky. U kterého pak současně provede změnu (přeNATování) adres.

Ach jo, "snad"... Pak to s tou security nemá vypadat tak, jak to s ní vypadá

NAT znamená "network address translation". Vidíš tam někde něco o zahazování packetů?
Dokonce i příslušné RFC2663 nepoužívá jednoznačně slovo MUST, ale jen MAY:

Applications that do not meet these requirements may be dropped using firewall filters.

Čili záleží to jen na autorovi té které implementace, jestli si ohlídá nežádoucí příchozí packety na vstupu. ...

Myslel jsem, že se bavíme o konkrétní implementaci dané techniky v reálných zařízeních.
Nikoli o teoretickém principu, kde zkratka NAT opravdu zahrnuje hodně možných implementací.

Ale když už chceš slovíčkařit, že NAT (tedy v praxi spíš IP maškaráda) nemusí umět filtrovat provoz ani tím základním způsobem, že povolí otevření jen zevnitř, tak pak stejně tak nemůžeš napsat, že NAT není zabezpečení. Pak musíš napsat, že "NAT nemusí být zabezpečení".
Tedy myšleno to, co se v dané krabičce zapne při zakliknutí volby NAT.

Nějaké superlevné krabičky jsem nezkoumal. Ale ty jen nepatrně lepší než ty nejlevnější v sobě většinou obsahují nějaký očesaný Linux.
Maškaráda je tam nakonfigurovaná přes iptables. A zahození paketů, které nepatří k již dříve zevnitř otevřenému spojení, tam samozřejmě je.
Doufám tedy, že se nepustíme do dalšího slovíčkaření na téma pakety versus rámce a podobně.

[lzahradil]

Vidím že tu jsou i kolegové od fochu. Slovíčkařit asi nemá smysl. Jsou tu i lidé kteří neví co znamená třeba přesměrovat port.
Jsme mimo záběr fóra ale jsme v sekci ostatní a když to vidím jak lze rozhýbat diskuzi, můžeme si to dát klidně od samého začátku počínaje všech vrstev OSI modelu
Až se dostaneme na tu poslední, aplikační, tak tu bude možná z laiků i více znalých

[unicast]

Myslel jsem, že se bavíme o konkrétní implementaci dané techniky v reálných zařízeních.

To by snad nejdřív muselo být specifikováno, o které konkrétní implementaci se bavíme, ne? To se tu nikde neobjevilo. Takže se samozřejmě nemůžeme bavit o ničem jiném, než právě o tom teoretickém principu a z toho, že ty jsi někde viděl krabičku, která se chová tak, jak by měla, není možné dělat obecné pravidlo.

Čili spoléhat se na NAT fakt není zabezpečení, právě proto, že v tom je chaos a že se může stát, že to nějaké zařízení propustí. Opomenutí nebo zanesená chyba v některé budoucí verzi je také plausibilní varianta.

Podobně se v elektrikařině při nových instalacích nespoléháme na pouhou ochranu nulováním a na soustavu TN-C, protože se může stát, že něco bude nějak jinak a nikdo o tom nediskutuje.