From: Burak DAYIOGLU (dayioglu@metu.edu.tr)
Date: Tue 28 Jan 2003 - 09:26:27 EET
On Tue, 2003-01-21 at 17:03, Abdullah G=FCney wrote:
> Merhaba,
> Linux server uzerinden kablonet ile internete cikan makinalarin local
> ipleri bir siteye girildiginde gozukmemesi gerektigini dusunuyordum
> ancak biraz once bir siteye girdigimde benim localde kullandigim ip yi
> goruntuledi. Bu normalde olmamasi gereken bir durum degilmidir. Masq
> yapan bir makina disardan tek ip olarak gozukmesi gerekmiyor mu?
> Guvenlik acigi oldugunu dusunmelimiyiz? =20
Merhaba,
Daha once cevap verecek vakit bulamadim, kusura bakmayin...
NAT yapan bir alet dorduncu katmanda (layer 4) calisir. Bu da, ornegin
TCP paketlerinin iceriginin incelenmeyecegi/degistirilmeyecegi anlamina
gelir.
Bunun NAT yapilan yerlerden gelen e-posta'larin basliklarini (headers)
inceleyerek cok rahat gozlemleyebilirsiniz; NAT yapan sistem mesaj
basliklarini degistirmedigi icin iceride kullanilan IP'leri size gelen
mesaji inceleyerek ogrenebilirsiniz.
Kisacasi, uygulama katmaninda calisan protokol, TCP paket iceriklerine
kendi protokolu dogrultusunda IP adresleri gomuyorsa NAT bunlari
duzeltemez.
Aslinda web icin boyle bir durum yok; yani web browser'iniz HTTP
isteginin icerisine kendi IP'sini yazmiyor. Web sunucular,
istemcilerinin IP'lerini alt katman protokolunden (TCP) aliyorlar.
Bu gozleminizin gerceklesmesi (NAT arkasindaki web istemcilerin web
sunucu tarafindan gercek IP'leri ile taninmasi) icin siradisi bir seyler
yapilmasi gerekiyor...
Bir olasilik sayfa icerisindeki JavaScript vb. istemci-tarafi betikleri
olabilir. Sayfa icerisinde JavaScript ile bir form alanina IP
doldurulabilir ve form gonderildiginde (submit) gercek IP'nin de
sunucuya gonderilmesi saglanabilir.
Kisacasi gozleminiz siradisi ve pek seyrek karsilasabileceginiz bir
durum. Ancak aciklamasi da en azindan JS ornegi ile var...
selamlar.
--=20
Burak DAYIOGLU
Phone: +90 312 2103379 Fax: +90 312 2103333
http://www.dayioglu.net ICQ UIN: 72276975
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------