• # Les machines en adressage privé sont scannables !

    Posté par (site web personnel) . En réponse à la dépêche Scan par témoin. Évalué à 10.

    Avec ce type de scan, les machines ayant une IP privée (192.168.1.1 par exemple) sont scannables même à travers un NAT, de qui veut dire qu'une grande partie des réseaux internes peuvent être visités (!= attaquable), chose qui était très difficile auparavant si le routeur était correct.



    La contre-mesure proposée par l'auteur de l'article est de mettre des règles anti-spoofing sur le firewall : interdire le traffic du LAN privé sur l'interface externe.



    Avec pf, les deux lignes suivantes devraient donc protéger les LAN de ce type de scan :



    spoofed="{ 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 255.255.255.255/32 }"

    block in quick on $external from $spoofed to any