Koduruuterite NAT võimaldab tavaliselt kõiki väljaminevaid ühendusi, mille kasutaja on LAN-ist algatanud. NAT on tavaliselt seotud UPnP-ga, et võimaldada kasutajatel / hostidel / teenustel avada nõutavad väljuvad pordid vastavalt vajadusele.
Tavaliselt pole väljaminevate ühenduste algatamisel piiranguid, et muuta ühendus võimalikult kasutajasõbralikuks.
Kui arvestate koduruuteri juurutamise jaoks järgmisi tegureid:
- järelevalve puudumine
- halb või vaikekonfiguratsioon (vaikeparoolid)
- kasutajad (isegi tehnilised kasutajad klõpsavad nuppu
- kohtvõrgus olevate hostide halb turvalisus (A / V, lappimine)
Rünnak, mis kasutab ära NAT-i viisi töötab koduruuterites, mitte otsene rünnak NATi enda vastu, on lihtsalt (oda) andmepüügirünnak LAN-i kasutaja vastu.
Näide: pakitud PDF-fail, millel kasutaja tõenäoliselt klõpsab, ja käivitab seejärel koju helistamiseks koodi, saab algatada väljamineva ühenduse, mis võimaldab ründajal kasutada pöördkanalit LAN-hosti edasiseks kasutamiseks vastavalt vajadusele.
Märkus: see tuleneb minu kogemustest kodugaruuterid (Billion, Linksys), millel töötab vaikepüsivara. Kui kodukasutaja kasutab Cisco 877 või Linksys, kus töötab kohandatud püsivara, võib rakendada täiendavaid turvakontrolli.