NAT umgehen

[bLinDy*]

hallo zusammen,

ich beschäftige mich mit dem thema netzwerk schon einige zeit. ich selber habe den CCNA schein und bin mitlerweile am CCNP dran. aber so sehr ich auch in mich gehe und darüber nachdenke - will mir doch keine lösung einfallen.

NAT wird meist als security feature bezeichnet und grob gesehen ist es das ja auch. was ich mir nur nicht erklären kann ist, wie es möglich ist ein NAT zu umgehen. folgende gedanke schwirren mir dazu im kopf rum:

- woher will der angreifer meine interne adress vergabe kennen?

- muss er das denn? der router würde ihn ja automatisch übersetzen

- wie kann er seinen "spoofing-paketen" meine destination-adresse geben?

- übersetzt der router denn auch seine "fake pakete", wenn von dieser adresse

gar keine antwort erwartet wird?

ich hoffe ihr könnt mir einen denkanstoss geben.

anbei sei ausdrücklich gesagt, dass ich folgende antworten in meinen persönlichen horizont einfließen lassen und dieses wissen weder für illegale zwecke noch zum schaden anderer missbrauchen möchte

lg,

bLinDy*

Bearbeitet 5. Dezember 2009 von bLinDy*

[RipperFox]

NAT wird meist von INNEN heraus "umgangen" - denn meist wirkt NAT wie ein "einseitiger" Paketfilter (blockt nicht weitergeleitete Ports von Aussen).

D.h. ich kann mir von INNEN mit einem geeigneten Programm "Löcher" in die NAT Tabelle schiessen, um dann doch Serverdienste anbieten zu können.

(vgl. NAT traversal - Wikipedia, the free encyclopedia ).

Ein beliebtes Beispiel ist Skype - das gräbt sich auf diversen Wegen in soweit frei, dass es eben als P2P Anwndung laufen kann (=von Aussen erreichbar ist).

Btw: Der Wegfall von NAT bei Ipv6 wird oft als Verlust von "Sicherheit" gewertet, aber im Zweifel hat der Router eh eine "richtige" Firewall an Bord, der eben auch Traffic von INNEN her filtern kann.

Grüße Ripper

[bLinDy*]

moin ripper,

danke das war wirklich sehr hilfreich und reichlich kompetent beantwortet. ich hab mir das auf wiki auch durchgelesen, aber könntest du oder jemand anders evtl. auf meine gedanken aus dem 1. post eingehen?

[lupo49]

Kannst du deine Gedanken noch weiter ausführen, die sind für mich nicht klar genug gestellt und lassen zuviel Interpretationsspielraum.

[bLinDy*]

mir geht es zB. um folgende situation - ich kann mir das einfach nicht vorstellen wie das gehen soll und in "normalen" foren, bekommt man ja keine vernünftige antwort. also ...:

ich bin jetzt also ein böser hacker. ich habe also eine ip "mitgesnifft" während ich mit einer vollbusigen, blonden und selbstverständlich nackt vor dem pc sitzenden frau gechattet habe. (abwegig? ^^)

jetzt sitzt die süße (in wirklichkeit haarig und 150 kg schwer) an ihrem pc und da ihr mitbewohner auch einen pc hat - benutzen sie einen router. (router im sinne von 08-15 netgear)

der bekommt also seine ip zugewiesen vom isp und "nat-tet" fröhlich vor sich hin. es sind keine porst freigegeben.

so jetzt sitz ich da. (es geht gar nicht ums detail, wie oben gesagt möchte ich es nur für mich wissen) jetzt habe ich also die ip des auserwählten opfers und ich möchte irgendwie eine verbindung in das lan bekommen um mir eventuell private daten zu saugen.

ist das schon zu engstirnig gedacht? wie lasse ich mich num vom nat übersetzen?

vielleicht hilft dir das ja zu verstehen was ich meine.

[RipperFox]

ich habe also eine ip "mitgesnifft" ..

doh - da fängts schon an.. "mitgesnifft" - wie denn?

der bekommt also seine ip zugewiesen vom isp und "nat-tet" fröhlich vor sich hin. es sind keine porst freigegeben.

Dann kannst du den kompletten internen Netzaufbau kennen und kommt ziemlich genau 0 Meter weit, da der NATende Router von DIR erstmal nix durchlässt.

ist das schon zu engstirnig gedacht? wie lasse ich mich num vom nat übersetzen?

Gar nicht - wenn keine Implementationslücke oder sonst ein Fehler am NAT-Gerät besteht. Spoofing könnte einem ermöglichen, eine Verbindung zu kapern - aber wir haben nichtmal Infomationen mit was das interne LAN den eine Verbindung hat

Für einen Weg ins interne Netz sind Trojaner (Entry via Browser-Exploit - brandgefährlich) und sonstige Dinge (zu offenes WLAN) wesentlich besser geeignet als der Versuch ein geschlossenes NAT von aussen zu knacken.

Gibt z.B. den von Sicherheitsfirmen gern genutzten USB-Key Trick: Einfach auf dem Firmenparkplatz ein paar USB-Sticks mit Trojaner auf den Boden schmeissen - irgend ein interessierter Ahnungsloser liest die Teile schon auf und stöpselt das in seinen Arbeitsplatz-PC -> "Gehaltsliste.pdf.exe" und offen ist das Netz

Grüße

Ripper

Bearbeitet 10. Dezember 2009 von RipperFox
[/quote]

[bLinDy*]

ich würd mich mit dir ja gerne mal aufn bier treffen ... ich denke das könnte ne lange nacht werden

ich meine das mitsniffen einer ip is kein problem. sniffer auf den pc drauf und mitloggen lassen während eines chats, eines downloads, was auch immer

aber in ordnung - ich gebe mich mit deiner erklärung zufrieden

dankeschön an euch jungs

bLinDy*

[Mr.Average]

*schnipp*

- woher will der angreifer meine interne adress vergabe kennen?

- muss er das denn? der router würde ihn ja automatisch übersetzen

- wie kann er seinen "spoofing-paketen" meine destination-adresse geben?

- übersetzt der router denn auch seine "fake pakete", wenn von dieser adresse gar keine antwort erwartet wird?

*schnipp*

ich meine das mitsniffen einer ip is kein problem. sniffer auf den pc drauf und mitloggen lassen während eines chats, eines downloads, was auch immer

*schnapp*

Du hast Dir Deine Fragen eigentlich komplett selbst beantwortet.

Solange keine Ports auf einen der Clients im internen Netz weitergeleitet werden hast du keine Möglichkeit eine Verbindung in das interne Netz zu initiieren. Du hast zwar die externe IP-Adresse von deinem Chat, aber wie du schon meintest - solang keine Verbindung erwartet wird wirst du gedroppt.

Wenn du nun schon so einfach einen Sniffer auf einen der Clients im LAN bringst - warum sollte der Sniffer sniffen? Er könnte doch auch einfach eine Verbindung zu Dir aufbauen, würde geNATet und könnte damit auch Antworten empfangen.