Vlákno názorů k článku Kdy dojdou IPv4 adresy? od Pavel Hroneš - Spousta lidí se tu ohání tvrzením, že pouhý...

Spousta lidí se tu ohání tvrzením, že pouhý NAT (a vnitřní sít s neveřejnými adresami) pro zabezpečení zvenčí nestačí.

Nemáte někdo nějaké tipy na zdroje informací, proč tomu tak je a jaké jsou možnosti zneužití?

Laickým pohledem by se totiž zdálo, že když má někdo adresu z privátního rozsahu, nemůže se mu nic stát!

Privátní adresy se dají normálně routovat a taky se routují.

Přes půl světa se k privátní adrese asi nikdo nepřipojí, protože páteřní routery neví, kam datagramy směrovat. Pokud je ale útočník nablízku, má to snazší.

Řekněme že máte firmu, uvnitř PC s privátní adresou, linuxový router s veřejnou adresou a povoleným forwardováním IP připojený k inet providerovi. Nyní někdo v síti providera nastaví správně cestu do Vaší sítě (stačí přidat záznam do směrovacích tabulek routerů, ležících po cestě). A spojení je na světě.

Privátní adresy tedy výrazně omezí množinu potenciálních útočníků, omezený okruh lidí ale může spojení s privátní sítí navázat.

Doporucuju takovy snadny test. Pustit traceroute na nejakou privatni IP, z rozsahu, ktery neprovozujete (napr pokud mate 192.168. tak otestujte 10.10.10.10). Uvidite kam az to proleze. Podle RFC by to mel zahodit prvni router cestou (samorejme router ve verejne siti - tudiz v 99% pripadu je to defaultni GW), ale vrele o tom pochybuju.

Ze soukrome praxe to v lepsim pripade proleze az na hranicni GW ISP, v horsim jeste mnohem dal.

No a takovy blbe nastaveny nat udela presne to, co se od routeru ceka, kdyz na nej prijde paket adresovany IP kterou zna, tak jej na ni posle. Navic neni problem rict svemu stroji, ze IP 192.168.1.0/24 zna stroj 62.256.136.322.