Privátní rozsah IP adres a útoky na ně

[Miroslav]

Zdravím,
můžete mi někdo potvrdit nebo vyvrátit toto :

1) Když si u sebe doma nastavím na stroji adresu z privátního rozsahu adres třeba 192.168.255.1 (nejsou směrovatelné přes internet fungují jenom v privátní LAN) a připojím se pomocí modemu (každé připojení a každou chvíly mám jinou IP) a schválně nenastavím firewall, schválně nastrčím nějaké porty nějakých aplikací (třeba Apache:25) a budu čekat až se někdo probourá jak by se teoreticky mohl dostat až ke mě na počítač když moje adresa je přes internet nesměrovatelná? Maximálně by se dostal do Apache ne? Jestliže jsem připojen přes modem, tak by útočník musel nejdřív najít mojí dynamicky přidělenou adresu od providera, potom by musel zjistit co mi na tý IP běží a pak by doloval. Jenže jak by se ke mně dostal když mám vnitřní IP 192.168.255.1?

2) Druhá situace úplně stejná akorát se na internet připojuji pomocí vlastní pevné IP a tedy přes NAT. Jaká je pravděpodobnost že se ke mě dostane přes nat řízek? Neodpovídejte prosím typem u tebe není co heknout nestojíš profesionálovi za to. Dejme tomu, že jsem počítač ve vnitřní síti NATA a někdo má velkou motivaci

Díky

[pavel.minarik]

málo informací, hlavně ten modem je co zač? adsl modem/router nebo modem na vytáčené připojení přímo v PC?

obecně, pokud máš na své mašině adresu z privátního rozsahu a nemáš forwardovaný port z nějaké veřejné IP, pak nelze iniciovat komunikaci zvenku, tj. nelze takto nikoho napadnout

[Bajgy]

1) tech cest je relativne hodne od nepravdepodobnych jako je dostat se do routeru tveho ISP, pres vice pravdepodobne jako pripojeni se primo na tvou LAN nebo jevice pravdepodobne a nejcasteji aplikovatelne jako ze ti proste zavola a zepta se. Znam par sitovych specialistu s dukladne zabezpecenou siti, kteri ti sve pristupove udaje vyzvatlaji po par pivech.

2) ze se k tobe dostane pres nat pravdepodobne neni ale mozne ano. Router si v pameti drzi otevrene spojeni a po case je uzavira. Hacker muze vyuzit otevreneho spojeni na vhodnem portu. Obvykle predtim musi prinutit nejakou cinnosti nejakou aplikaci nebo cloveka aby mu ten vhodny port otevrela.
Nicmene pokud jsi pocitac ve vnitrni siti NATO tak 100% nemas zadny pristup na internet. Takovi idioti tam snad nejsou.

moznosti je hodne. to jen vyber z toho co me napada.

[jankop]

ad. 1. Podle mě chybná úvaha. Jakápak nesměrovatelná vnitřní adresa 192.168.255.1, pro přístup z webu se přece uplatní adresa rozhraní modemu.

[pavel.minarik]

ad. 1. Podle mě chybná úvaha. Jakápak nesměrovatelná vnitřní adresa 192.168.255.1, pro přístup z webu se přece uplatní adresa rozhraní modemu.

no a to je to na co narážím ve svém dotazu - málo informací, pokud je modem přímo součástí PC nebo funguje jako "bridge", případně je to ADSL USB modem, pak se samozřejmě použije adresa rozhraní modemu tj. v důsledku adresa toho PC

[[CZ]Airwolf[OC]]

btw: 192.168.255.1 je spravna adresa ? resp. nema se 255tka pouzivat ?

[pavel.minarik]

ikdyz to není běžné, můžeš adresu sítě ve tvaru 192.168.255 použít (je to v souladu se standardy)

[Miroslav]

Zdravím vás,
omlouvám se za nepřesné informace. Máte pravdu v tom, že důležité počítače jsou odpojeny od internetu a zaměstanci co pracují na takových strojích jsou prověření+mají podepsanou mlčenlivost. Špatně jsem položil dotaz. Ještě jednou : Mě jde čistě teoreticky o tohle : mám přidělenu veřejnou IP (pevnou), která se dynamicky nemění buď každé připojení (třeba modem) nebo každou chvíly (třeba taky vytáčený modem). Jedu přes NAT a mám forwardnutý port 25 a prostě mám na této IP a na portu 25 otevřený celému internetu mail server a ať nežeru IIS s dírama. Tak a teď se dostávám k podstatě problému : i když mi hacknou ten web server na 25 cítce, i když se mi dostanou přes router, i když se dostanou přes nadřazenou firewall ISP (třeba GPRS) providera a teď přijde to nejlepší . . . . . .jak se můžou dostat na mojí stanici s OS a firewallem, když budu mít privátní IP (tzn. nesměrovatelnou přes internet, tzn. na dálku na mě nemůže protože mě nemůže vidět)
uf, prosím protiargumentujte...

PS : na stanici mám lehkomyslně povolený netbios a čumí mi tam porty 135-139 a mám povolený sdílený disk C:\ a guest účet je taky povolený a bez hesla ale stanice je na privátním rozsahu

[Bajgy]

no pokud mas ten web server na stejne siti jako stanici... tak se muze pokusit vyuzit/najit nejakou buffer overrrun chybu k ovladnuti toho stroje. Pak uz bude moci navazat spojeni kamkoliv k sobe a bude zalezeto co za prekazky jsou na ceste mezi tebou a tim web serverem (coz nepises)

[Ondrej1]

Přiznám se, že tomu moc nerozumím. Ten webserver/mailserver, na který ten portforward ukazuje, má privátní IP adresu? Je na stejné síti jako pracovní stanice?

[Miroslav]

ten mail server má veřejnou IP adresu a já jsem ve vnitřní síti schovanej za NAT s forwardnutým portem 25. Můj stroj ve vnitřní síti má jakoukoliv IP adresu z privátního rozsahu. Jde mi o to, jak se ke měn může někdo nabourat (přímo ke mně na stanici. Ten web server mám u sebe na stanici a je ve vnitřní sítí) Ven to jede přes NAT. A mě jde teoreticky o to, že i když se někdo probourá Natem a routerem a i když se dostane hacker přes chybu nebo exploit na ten web server, jak může u mě řádit na stanici když mám nesměrovatelnou IP přes internet? Přece se už teoreticky musí zastavit v routeru, dál už ani na ten mail server co je u mě na stanici nemůže protože ten sedí už na privátní IP ne?

Ptám se teoreticky a hlavně všeobecně : Třeba plno lidí si pořizuje ADSL a místo aby koupily router s firewallem za 1700Kč berou nejom nejlevnější modemy (jenom to nejnutnější na připojení) a ty modemy jsou přes RJ45 nebo USB přímo píchnutý do PC. Dál neřešej že mají NETBIOS povolený a fireall nemají aktivovaný. Ven jedou přes NAT routeru nebo přímo přes modem. Mají samozřejmně pevnou veřejnou IP a ta je vystavená scannům 24 hodin denně. A mě zajímá, když na takovou IP narazí profesionál, jak se může dostat dovnitř když ten člověk má na PC privátní IP adresu. Ta přece výrazným způsobem musí zvyšovat nedobytelnost toho PC. A je jedno jestli mám mail server nebo ne

[Bajgy]

takze jestli tomu rozumim spravne... TVOJE pracovni stanice ma do internetu otevreny port 25 (coz je nestandartni port, ale budiž) a bezi tam IIS a ty se ptas jesetli a jak se ti tam nekdo muze nabourat.

Pokud je to takto pak ANO muze se ti tam nabourat kdokoliv kdo zna nejakou zranitelnost toho IIS, kterou nemas opravenu. Ato proste proto, ze aby ti ten webserver fungoval tak na vsech routerech, NATech a firewallech po ceste mas z vlastni vule nastaveno, ze tam kdokoliv muze prijit.

[Bajgy]

a navic si prosim ujasni jestli je to webserwer nebo mailserver, kazdou chvilu pises neco jineho

[Miroslav]

ano, samozřejmně že je to mail server port 25. A konečně jsem tě dostal kam potřebuju. ano je to nastavený tak aby to fungovalo tudíž do internetu čumí 25 cítka a na ní běží můj zranitelný server a je na stejné podsíti. Jenomže : on (ten hacker) se probourá do toho mail serveru ale jak může zautočit na mojí stanici s privátní IP adresou když nejsem vidět na internetu (moje IP je nesměrovatelná, tudíž neviditelná)?????????

[[CZ]Airwolf[OC]]

Protoze mailserver bezi na stejne podsiti jako tvuj PC. Z mailserveru je tvoje sit videt i kdyz primo z internetu videt neni. Doporucuji precist si neco o sitich a podsitich.

[Ondrej1]

Poměrně snadno. Oblíbený hack programů je, že se pomocí stack overflow podaří spustit libovolný příkaz, a to nejlépe s administrátorským oprávněním a s přesměrováním výstupu k sobě.. Čili potenciální útočník spustí na mailserveru příkaz

Kód: Vybrat vše

net view

Tento příkaz běží na počítači ve vnitřní síti, čili se vypíšou všechny sdílející počítače s vnitřní adresou. Následovat může příkaz net use, mail, častěji však rovnou instalace backdooru.

A mě zajímá, když na takovou IP narazí profesionál, jak se může dostat dovnitř když ten člověk má na PC privátní IP adresu. Ta přece výrazným způsobem musí zvyšovat nedobytelnost toho PC.

To je OOO (obecně oblíbený omyl) a ten člověk nemusí být až tak velký profesionál. NAT je bezpečný jenom natolik, jak jsou bezpečné
a) NATovací stroj (čili jak dobrý je firmware routeru)
b) aplikace běžící na forwardovaných portech.

A řetěz je tak silný, jak silný je jeho nejslabší článek

Navíc pokud se jedná o lokální mailserver pro odchozí poštu z vedlejšího threadu, tak ten by neměl mít port 25 otevřený do světa vůbec.

[Miroslav]

prosimtě jaktože ten příkaz net view mi zobrazuje akorát sdílené tiskárny? Aby mi to zobrazilo i sdílené disky musím dát net view \\IP adresa
Nevíš jak na úplný výpis všech windows sdílení?

[[CZ]Airwolf[OC]]

net share

zkus premyslet a podivat se taky co vse ten prikaz umi nez se zeptas