it-swarm-id.com

Apakah NAT Loopback pada router saya merupakan masalah keamanan?

Beberapa router DSL mencegah NAT loopback. Keamanan terkadang disebut sebagai alasannya. Apakah NAT loopback benar-benar masalah keamanan? Dan jika demikian, bagaimana ini dieksploitasi?

NAT loopback ... di mana mesin di LAN dapat mengakses mesin lain di LAN melalui alamat IP eksternal LAN/router (dengan penerusan port diatur pada router untuk mengarahkan permintaan ke mesin yang sesuai pada LAN) . Tanpa NAT loopback Anda harus menggunakan alamat IP internal perangkat saat berada di LAN.

EDIT: Penyebutan keamanan diakui dari sumber tidak resmi, itulah sebabnya saya ingin menjelaskan ini ...

Dari Forum Komunitas BT :

Ini bukan kesalahan. Sebagian besar router tidak akan mengirim dan menerima data pada antarmuka yang sama (Loopback), karena ini merupakan risiko keamanan.

Dan lebih jauh ke bawah halaman yang sama , dari pengguna yang sama:

Sebagai seorang insinyur jaringan saya bekerja dengan router Cisco dan Brocade setiap hari dan ini tidak akan memungkinkan loopback karena masalah keamanan yang melekat. BT telah mengadopsi pendekatan bahwa keamanan sangat penting dan seperti halnya router kelas perusahaan, loopback tidak diizinkan.

Dari halaman tentang NAT Router Loopback :

Banyak router/modem DSL mencegah koneksi loopback sebagai fitur keamanan.

Sejujurnya, sampai sekarang saya selalu berasumsi bahwa kegagalan untuk mendukung NAT loopback hanyalah kegagalan pada perangkat keras/firmware, bukan 'fitur keamanan' ?! Kelalaiannya jauh lebih besar masalah IMHO. (Jika Anda tidak menebak, router saya tidak mendukung NAT loopback.)

10
MrWhite

Sebagian besar router tingkat konsumen tidak memiliki larangan terhadapnya, itu hanya tidak berfungsi.

Bayangkan skenario berikut. Ini bukan hipotesis, jalankan tcpdump di komputer Anda sendiri dan Anda akan melihatnya terjadi sekarang. Diambil dari ddwrt Buffalo saya beberapa saat yang lalu hanya untuk memverifikasi.

Pemain: [Router: 10.0.0.1] [Computer1: 10.0.0.3] [Computer2: 10.0.0.4]
Di luar IP: 99.99.99.99, diteruskan ke Computer2

  • Computer1 to Router [10.0.0.3 -> 99.99.99.99]

  • Router menggunakan DNAT untuk mengubah tujuan ke 10.0.0.4 dan mendorongnya kembali ke jaringan lokal:
    Router ke Computer2 [10.0.0.3 -> 10.0.0.4]

  • Computer2 mencoba untuk menanggapi paket dengan mengirim ke IP sumber.
    Computer2 to Computer1 [10.0.0.4 -> 10.0.0.3]

  • Computer1: WTF?
    Computer1 mengharapkan balasan dari 99,99,99.99, dapatkan dari 10.0.0.4 sebagai gantinya. Alamat tidak cocok, kegagalan koneksi, paket RST dikirim kembali.

Sekarang, Anda bertanya, mengapa router tidak SNAT koneksi dari Computer1 ke IP internal router ketika DNAT itu ke Computer2? Karena aturan SNAT akan mengacaukan semua lalu lintas lainnya yang tidak mengikuti pola di atas.

SNAT benar-benar hanya boleh digunakan dalam satu arah kecuali Anda bersedia meluangkan banyak waktu dan perhatian untuk membuat dan memelihara aturan aturan NAT yang tidak akan menggigit Anda.

Dan untuk mendahului siapa pun yang mengatakan bagaimana dengan ini:

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 10.0.0.0/24 -j MASQUERADE

Saya akan menunjukkan bahwa aturan ini akan mempengaruhi tidak hanya untuk lalu lintas NAT-loopback, tetapi juga untuk jembatan lalu lintas (mis. Jaringan WiFi ke jaringan Kabel), yang akan membuat router WiFi putus asa putus. Aturannya harus disesuaikan agar cocok dengan HANYA lalu lintas loopback, yang sedikit lebih rumit dan mungkin melibatkan paket penandaan. Bukan tidak mungkin, tetapi bukan jenis rekayasa dan debugging yang masuk ke sebagian besar router; dan tentu saja penuh dengan bahaya.

Glosarium:
SNAT = Sumber NAT (mengubah IP sumber)
DNAT = Tujuan NAT (mengubah IP tujuan)
NAT = Terjemahan Alamat Jaringan

11
tylerl

Tidak dapat menemukan dasar teknis untuk klaim masalah keamanan loopback NAT ini. =)

Satu-satunya loopback yang saya ingat di masa-masa awal saya adalah mengaitkan kedua ujung RJ45 cat5e ke sakelar yang sama dan mengacaukan konektivitas LAN. Saat itu, kami menyebutnya loopback. Tapi ini lebih teknis daripada masalah keamanan.

2
John Santos