image

NAT maakt netwerken kwetsbaar voor hackers

donderdag 11 juni 2009, 15:51 door Redactie, 16 reacties

Het gebruik van Network Address Translation (NAT) maakt bedrijfsnetwerken kwetsbaar voor hackers, aldus beveiligingsonderzoeker Robert "RSnake" Hansen. Het komt erop neer dat niet routeerbare IP-adressen, zoals beschreven in de Internet Engineering Task Force's RFC 1918 standaard, door bedrijven als beveiliging worden gebruikt. Deze IP-adressen hebben daarnaast ook als functie om op het aantal publieke IP-adressen te besparen. Veel ondernemingen gaan ervan uit dat, omdat de adressen niet via het internet toegankelijk zijn, aanvallers er geen misbruik van kunnen maken.

De meeste intranet IP-adressen vallen in de 10.* en 192.168.* range. Daardoor komt het aantal waarschijnlijk subnetten neer op 1280 adressen (256 adressen maal 5 subnetten). Dit kan echter voor collisions zorgen waar twee verschillende netwerken vanuit een IP perspectief gelijk lijken. Een aanvaller zou dit kunnen gebruiken om denial of service aanvallen uit te voeren of toegang tot het interne bedrijfsnetwerk te krijgen. Sommige van deze aanvallen gebruiken de mogelijkheid van de browser om IP-adresgegevens in de cache te bewaren. Ook onthult Hansen een lek in de routering van VPN's, waardoor een aanvaller het netwerk van een partner of thuiswerkers kan compromitteren.

Zinloos
Om de aanval te laten slagen is een aantal zaken vereist. Zo moeten de aanvallers de VPNs kunnen vertellen wat te routeren. Als het VPN alleen maar tussen de IP-adressen van de beide partijen routeert, dan neemt de effectiviteit van de aanval snel af. Het zou dan alleen nog werken tegen de IP-adressen die gerouteerd mogen worden. Als oplossing adviseert Hansen bedrijven om geen IP-adressen te gebruiken, maar interne domeinnamen. Een aanvaller moet dan weten hoe de IP-adressen aan de DNS gekoppeld zijn.

Ook het gebruik van SSL/TLS op alle interne apparaten zou voor een "mis-match" zorgen als de aanvaller het JavaScript over HTTPs cachet. Verder is het verwijderen van alle scripting en dynamische content van de browser een mogelijkheid, hoewel Hansen opmerkt dat dit z'n beperkingen heeft. "Het vertrouwen op RFC1918 en de ingebouwde beveiligingsfuncties binnen de browser om gebruikers te beschermen is zinloos. De same origin policy van de browser geldt niet als het IP-adres hetzelfde is, en RFC1918 moet per definitie hetzelfde zijn. RFC1918 is dan ook een slecht alternatief voor IPv6."

Reacties (16)
11-06-2009, 15:55 door Anoniem
NAT is nooit ontworpen vanuit security oogpunt. Gebruik van NAT als security-verhogend mechanisme is dan ook alleen maar jezelf voor de gek houden.
11-06-2009, 16:47 door Anoniem
enig bewijs?

ik vind het maar vrij zwak. ik zie niet hoe je verder kan routeren.

En ja als je vindt dat VPN kwetsbaarder zijn.. wel ja duh, als je geconnecteerd wordt met het locale lan lijkt me dat ook wel logisch. Maar dan moet je eerst nog inloggen..
11-06-2009, 19:24 door Anoniem
"Gebruik van NAT als security-verhogend mechanisme is dan ook alleen maar jezelf voor de gek houden."

Gebruik van NAT is ten alle tijden veiliger dan alles op publieke IP adressen gooien. Wat dat betreft kan je rustig stellen dat gebruik van NAT security verhogend is.

Je moet verder natuurlijk wel bijvoorbeeld anti-spoofing rules opnemen in je firewall of router access-lists, zodat je verkeer van buiten wat gebruik maakt van de private IP adressen (of van adressen in public ranges die je intern gebruikt bij niet ge-NAT verkeer) dropt d.m.v. network ingress filtering.

Voor wat meer technische informatie omtrent network ingress filtering :

Cisco: Network Ingress Filtering ACL Template
http://www.ciscoblog.com/archives/2008/11/template_parame.html

RFC2827 - Network Ingress Filtering: Defeating Denial of Service
http://www.faqs.org/rfcs/rfc2827.html

RFC 3704 - Ingress Filtering for Multihomed Networks
http://tools.ietf.org/html/rfc3704
11-06-2009, 19:26 door Anoniem
Tjah, als je buiten de deur ziek wordt dan blijf je dat ook wel als je er niets tegen doet. Het is weer vrij klassiek allemaal, alleen maar een variatie op wat we al eerder gezien hebben.

mijn 2cent
11-06-2009, 19:28 door Anoniem
"NAT maakt netwerken kwetsbaar voor hackers"

Onzin, een netwerk zonder NAT is minder veilig. Dus NAT maakt netwerken (ietsje) minder kwetsbaar.

"Veel ondernemingen gaan ervan uit dat, omdat de adressen niet via het internet toegankelijk zijn, aanvallers er geen misbruik van kunnen maken. "

Managers die zo denken leveren natuurlijk wel een security risk op ;)
11-06-2009, 19:59 door SBBo
Mee eens,
Het gaat al fout op het moment dat de evil user op het netwerk kan koppelen en blijkbaar zonder enig probleem wordt voorzien van een IP adres. Tenzij het gaat om een insider. Als man in the middle moet jouw netwerkkaart in promiscuous mode worden gezet en je het verkeer kunt afluisteren. Een switch maakt het dan al een stuk lastiger. Iedereen weet ook dat insiders in de top staan wat betreft security problemen
Security gaat voor mij gepaard volgens het Defence In Depth principe, waarbij een maatregel op zich vrij zinloos is.
Alle op zich staande security maatregelen zijn te ondermijnen.
Ook ben ik het er mee eens dat NAT niet is ontworpen voor security, maar wel degelijk een onderdeel is van het Defence In Depth principe.
11-06-2009, 22:31 door Anoniem
Ah, en nu moeten we DNS gebruiken als verbetering. Dat is toch wel tegen alle adviezen in.
Of zou hij per ongeluk DNSSec bedoelen....

LW
12-06-2009, 00:22 door ej__
goed he, wel de routering mogen veranderen en dan alsnog gewoon vastlopen op de firewall :D

EJ
12-06-2009, 02:49 door Anoniem
Hansen schrijft niets nieuws. Zoals andere lezers al opmerkten: NAT is simpelweg nooit bedoeld om hiertegen bescherming te bieden omdat het daar niet voor ontworpen is. Je kan dat als ernstige fout beschouwen, maar dat maakt het probleem niet nieuw of schokkend. De situatie gaat ook onterecht voorbij aan meervoudige risico beheersing, iets wat je als professional wel mag verwachten. Verder mag Hansen nog eens leren tellen. 1,3,4,4,5....
12-06-2009, 09:25 door Sith Warrior
Open DNS gebruiken, met de optie Block internal IP addresses aan. Heb je igg van deze kwetsbaarheid van NAT geen last.
12-06-2009, 10:17 door Anoniem
Ik vind de rekensom ook erg dubieus.
Het aantal adressen in een 10.x.x.x reeks is errug groot, en hij slaat voor het gemak 172.16.x.x - 172.31.x.x range over.
Wel erg wazig allemaal.
12-06-2009, 11:38 door Anoniem
Stap twee ontbreekt? Vreemd.
12-06-2009, 12:43 door RichieB
Tsjonge, vertalen is ook een vak hoor. Subnetten != adressen. Uit het originele artikel:

The bulk of intranet IP space falls in 10.* and 192.168.*, and further, the bulk falls in 10.0.0.*, 10.1.1.*, 10.10.10.*, 192.168.0.* and 192.168.1.*. Narrowing the most likely subnets down to 1280 addresses (256 addresses * 5 subnets).

Het punt wat verder gemaakt wordt is dat als je een VPN opzet naar een potentieel kwaadaardig netwerk (evil admin scenario), iemand vanuit dat netwerk jouw interne netwerk kan hacken. Lijkt me niet zo heel schokkende conclusie.
12-06-2009, 13:17 door Anoniem
Als ik dit zo snel lees vind ik het maar een omslachtige aanval, maar misschien wel iets waar je rekening mee wilt houden.

De enige 'standaard' extra beveiliging die je hebt als je NAT draait is dat je voor de NAT zelf per definitie een packet filter moet hebben (de NAT machine). Verder biedt het absoluut geen beveiliging die je niet gewoon met een packet filter kunt realiseren.
12-06-2009, 14:20 door Anoniem
"RFC1918 is dan ook een slecht alternatief voor IPv6"
Uh? Waar slaat deze opmerking nou op zeg..
13-06-2009, 09:46 door ej__
Door Anoniem: "RFC1918 is dan ook een slecht alternatief voor IPv6"
Uh? Waar slaat deze opmerking nou op zeg..

nat is bedacht om het dreigend tekort aan ip adressen op te heffen. ipv6 is bedacht om het dreigend tekort aan ip adressen op te heffen...

Lijkt me nogal evident.

EJ
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.