Siin on juba mõned head turvaküsimuste loendid. Kuid ma pole veel kedagi NAT-i kinnitamist maininud.

Tsiteeritud Samy Kamkari saidilt, kuidas NAT-i kinnitus töötab:

1. Ründaja meelitab ohvri URL-ile, veenates neid, et lehel on pilte armsatest kassipoegadest.
2. Ohver klikib URL-il ja avab lehe.
3. Lehel on varjatud vorm, mis ühendab http://attacker.com:6667 (IRC-port).
4. Klient (ohver) esitab vormi teadmata. (Võltsitud) IRC-serveriga luuakse HTTP-ühendus.
5. Võltsitud IRC-server, mida ründaja haldab, lihtsalt kuulab, erinevalt minust endiste sõbrannade sõnul.
6. Vorm ka on varjatud väärtus, mis saadab: "PRIVMSG samy: \ 1DCC CHAT samy [ip kümnendkohaga] [port] \ 1 \ n"
7. Teie ruuter, tehes teile teene, näeb "IRC-ühendust" ( isegi kui teie klient räägib HTTP-ga) ja "DCC-vestluse" katse. DCC-vestlused nõuavad kliendil kohaliku porti avamist, et kaugvestlus teiega uuesti ühendust saaks.
8. Kuna ruuter blokeerib kõik sissetulevad ühendused, otsustab ta kogu DCC-vestluse kaudu liikluse porti edastada "tagasi teie juurde, et lubada sõbralikul ründajal NAT-i läbimine uuesti ühendust võtta ja teiega" vestelda ". Ründaja määras porti aga näiteks porti 21 (FTP). Ruuteri port suunab 21 tagasi ohvri sisesüsteemi. Ründajal on nüüd 21. marsruudis ohvriga ühenduse loomiseks ja rünnaku alustamiseks selge marsruut, laadides alla ohvri väga salastatud armasad kassipojapildid.

Eeldades, et teie koduruuter on konfigureeritud keelama kõik sissetulevad ühendused, on LAN-ile kaugjuurdepääsu saamiseks kõige lihtsam rünnak LAN-i ise kasutada.

1. Ava WiFi: kui kohtvõrk on juurdepääsetav turvamata WiFi kaudu ja ruuteril on vaikeparool, on triviaalne ruuterisse sisse logida ja lubada mõned sissetulevad pordid. Ilmselgelt nõuab see füüsilist lähedust.

   • Või kui teil on RJ-45-sid, mida (pahatahtlik) külastaja võiks teie LAN-i pääsemiseks kasutada, on teil sama haavatavus.
   • Või kui lasete külastajatel teie arvutit kasutada.

2. "Sõitke ravimiga" - petke kohtvõrgus olev kasutaja jooksukoodile ( java applet), mis logib ruuterisse (eeldades jälle vaikimisi või kergesti krakitatavat parooli) ja lubab sissetulevaid porte.

3. Kui ründaja suudab teie veebiühendust MITM-ida, võib ta lehti muuta kui surfate, süstite oma ruuteri pordide avamiseks jaotises 2 loetletud ravimirünnakut.

4. Teatud haavatavate ruuterite jaoks: juurdepääs oma kohtvõrgule - isegi kui teil on konfigureeritud turvaline administraatori parool - ründaja saab DHCP registreerimisel kasutada loomingulisi hostinimesid teie DNS-vahemälu mürgitamiseks või XSS-i süstimiseks ruuteri administraatori liidesesse.

5. Jällegi teatud haavatavate ruuterite puhul : kui teil on juurdepääs teie LAN-ile, võib ründaja teie autentsust nuusutada ruuteri parooli saamiseks.

6. CSRF-i rünnakud: külastate pahatahtlikku veebilehte, mis proovib CSRF-i teie ruuteri administraatoripiirkonda. (Teatud haavatavate ruuterite jaoks, millel on vaikeparool seatud, või kui olete selles brauseriseansis juba ruuteriga autentitud.)

7. CSRF koos autentimise ümbersõidu haavatavusega. Mõnes ruuteris on veebiadministraatori liideses vead, mis töötlevad autentimata taotlusi.

Vaadake seda dokumenti ( veebiarhiiv) üksikasjad ülaltoodud loendis toodud rünnakute kohta.

Ruuteri NAT-i vastu võivad olla rünnakud, mis põhjustavad küll DoS-i, kuid mitte kaugjuurdepääsu LAN-ile. Ma pole ühtegi neist loetlenud.

Koduruuterite NAT võimaldab tavaliselt kõiki väljaminevaid ühendusi, mille kasutaja on LAN-ist algatanud. NAT on tavaliselt seotud UPnP-ga, et võimaldada kasutajatel / hostidel / teenustel avada nõutavad väljuvad pordid vastavalt vajadusele.

Tavaliselt pole väljaminevate ühenduste algatamisel piiranguid, et muuta ühendus võimalikult kasutajasõbralikuks.

Kui arvestate koduruuteri juurutamise jaoks järgmisi tegureid:

• järelevalve puudumine
• halb või vaikekonfiguratsioon (vaikeparoolid)
• kasutajad (isegi tehnilised kasutajad klõpsavad nuppu
• kohtvõrgus olevate hostide halb turvalisus (A / V, lappimine)

Rünnak, mis kasutab ära NAT-i viisi töötab koduruuterites, mitte otsene rünnak NATi enda vastu, on lihtsalt (oda) andmepüügirünnak LAN-i kasutaja vastu.

Näide: pakitud PDF-fail, millel kasutaja tõenäoliselt klõpsab, ja käivitab seejärel koju helistamiseks koodi, saab algatada väljamineva ühenduse, mis võimaldab ründajal kasutada pöördkanalit LAN-hosti edasiseks kasutamiseks vastavalt vajadusele.

Märkus: see tuleneb minu kogemustest kodugaruuterid (Billion, Linksys), millel töötab vaikepüsivara. Kui kodukasutaja kasutab Cisco 877 või Linksys, kus töötab kohandatud püsivara, võib rakendada täiendavaid turvakontrolli.

Kui NAT on kõik, mida kasutate, ei paku see üldse palju turvalisust.

Näiteks kui teil on server, mis töötab pordis 445 ja see on NATi Interneti kaudu ühendatud, ei pea ründaja isegi teadma, et see on NAT'ed - NAT'ing saab lubage neil sellega ühendust luua ükskõik millisel IP-l ja porti kuvatakse Internetis.

Seda ei loeta isegi NAT-i rünnakuks - siin pole NAT-i asjakohane.

Tükk mis annab teile turvalisuse, on ruuteri juurdepääsu kontroll / tulemüür. See peatab Interneti-ründajad teie kliente skannimas.

MUUDA - on välja toodud, et koduruuteri NAT'ing pakub vaikimisi ühesuunalist NAT-i, mis tõhusalt annab teile juurdepääsu keelamise reegli nagu tulemüür.

Nõuanne:

• kasutage NAT-i, et võimaldada mitmel arvutil Internetile juurdepääs, kuid ärge kujutage seda ette pakub turvalisust
• Turvalisuse tagamiseks veenduge, et teie ruuter / tulemüür keelaks KÕIK sissetulevad ühendused, välja arvatud need, mida teil on hädavajalik, ja need ühendused, mis vastavad väljaminevatele päringutele

Kui te ei kasuta vaikeparoole, (kui teil on 2 suurtähte, 2 väiketähti, 4- ja 4-sümbolilisi paroole, ei häkita seda parooli kunagi). Siis, kui määrate ruuteri keelama kõik sissetulevad edastusedemed, vastutage oma Interneti kasutamise eest ja ärge avage kahtlaseid e-kirju, mis on teile üsna turvalised.