Vulnérabilités de pure NAT sans pare-feu
Suite à certains des commentaires sur this question, j'étais curieux des vulnérabilités de sécurité de NAT. Il existe des threads similaires ici et ici mais ils discutent directement des vulnérabilités de routeur plutôt que des vulnérabilités NAT.
Donc, imaginez que j'ai un routeur directement connecté à Internet, le routeur n'a aucune configuration non explicitement requise pour le fonctionnement de NAT. Le routeur n'a également aucune vulnérabilité directe dans les ports qu'elle pourrait exposer (c'est-à-dire une interface HTTP bien conçue avec une stratégie/lock-out de mot de passe solide). Il n'y a pas non plus de transfert de port activé sur le routeur. Évidemment, il n'a pas non plus de réseautage sans fil attaché, etc.
Les seules attaques possibles sont directement sur Internet et aucun trafic de l'appareil NAT visitera un site contrôlé par vous.
Dans cette configuration, il y a quelque chose pour un attaquant de se connecter à une machine de l'autre côté du routeur.
Je me rends compte qu'il s'agit d'une question très théorique que la sécurité n'a jamais d'attaquer une seule chose. Les attaques sont toujours sur la recherche du lien le plus faible d'un système. Cependant, sans ces questions théoriques, nous connaîions les vulnérabilités dont nous avons besoin pour vous protéger.
(Si je suis tout à fait honnête, cette question est autant sur la question de dire "le prouver" à ceux qui disent que NAT ne fournit aucune sécurité)
En prolongement de la question ci-dessus, laquelle des règles ci-dessus devrait être supprimée ou ajustée pour créer un vecteur d'attaque réaliste.
Depuis NAT permet uniquement aux réponses à la connexion sortante, aucune attaque directe de l'extérieur à l'intérieur n'est possible. Mais des attaques simples de déni de service sont toujours possibles. Et tandis que (D) DOS n'affecte pas directement le réseau intérieur directement. Cela peut conduire à un déni de services critiques qui ont besoin de l'accès à l'extérieur, comme le téléphone (VoIP) ou Smart Home Services .
... et aucun trafic par derrière le NAT dispositif visitera un site contrôlé par vous.
Au moins si vous utilisez un navigateur derrière un tel pare-feu, cette hypothèse est probablement erronée, car vous pouvez simplement inclure un lien vers une adresse IP locale dans un site Web externe ou un nom d'hôte externe résolve à une adresse IP interne. Ceci est en fait utilisé dans la pratique par Spotify et d'autres à des fins de non-attaque, mais peuvent également être utilisés pour des attaques de contourner la même politique originale ou à compromettre le routeur de l'intérieur .