Por que desativar o NAT passthrough?

4

De acordo com este artigo , o paspass de NAT é um recurso de roteador habilitar conexões VPN de saída de computadores da LAN. Meu roteador Asus tem passagem de NAT para três protocolos VPN: PPTP, L2TP e IPSec. Destes, apenas o PPTP está ativado por padrão.

Quais motivos existem para desabilitar a passagem de NAT? Parece que o recurso é útil e inofensivo em termos de segurança para mim. Além disso, existe alguma razão pela qual o PPTP é o único protocolo ativado por padrão?

    
por jacwah 25.05.2016 / 20:28

1 resposta

6

O NAT da rede externa para o interior está desativado por padrão devido à segurança. A passagem VPN não é diretamente igual ao NAT. A VPN é usada para entrar em uma rede externa, de modo que tudo entre você e a rede externa pense que você faz parte da outra rede (onde você se conectou com a VPN).

Por padrão, você não precisa permitir que os usuários participem de outras redes (devido à segurança). Mas eu acho que a Asus abriu o protocolo PPTP por padrão, já que é bastante comumente usado (embora não devesse, já que a segurança está completamente quebrada) e a maioria dos usuários nunca acessa a interface web do roteador. O PPTP-VPN não funcionaria depois de comprar um novo roteador.

Pessoalmente, eu tenho todos eles abertos, mas estou usando um sistema de firewall mais profissional para filtrar o tráfego. Se você não for usá-los, deixe todos desativados e ative-os quando precisar deles.

EDIT: (Por que os usuários da minha rede se juntando a outras redes é um problema de segurança?)

A VPN é usada para se conectar a outra rede remotamente, de forma que tudo entre o seu PC e o servidor VPN ache que você faz parte da rede do servidor VPN. Isso significa que você obterá um novo endereço IP interno do pool do servidor VPN e será "desconectado" de sua LAN local, ou seja, não será possível imprimir na impressora de rede da sua casa e não conseguirá acessar seu armazenamento NAS (NOTA! < - é por padrão, é claro, você pode aplicar alguns protocolos avançados de VPN e interface para habilitá-los).

Quando você se torna parte de outra rede e a passagem do firewall da VPN é ativada, a conexão entre o seu PC e o servidor VPN contornará todas as regras de firewall do seu roteador. Se o cliente VPN puder contatar o servidor VPN, o servidor também poderá contatar seu PC (cliente). Agora, isso leva a um problema se alguém em sua rede se conecta a um servidor VPN inseguro ou mal-intencionado: um hacker no servidor agora pode acessar a LAN de sua casa por meio da VPN.

Um túnel VPN é um túnel bidirecional (nem sempre, se você fizer alguns truques). E conectando-se a um servidor VPN, um usuário dentro de sua rede pode, por acidente, abrir toda a rede para o exterior, caso o servidor VPN seja malicioso ou haja algum erro de configuração em algum lugar. Um possível vírus em seu PC também pode abrir uma conexão VPN sem que você saiba, o que leva a outra história que todos os hackers dentro de sua LAN podem fazer (roubar senhas e destruir dados).

Se você não precisa necessariamente de VPN, mantenha-a fechada. Essa também é a regra básica para todos os firewalls e roteamentos: mantenha todas as portas, protocolos e interfaces bloqueadas por padrão e, caso precise deles, abra-os.

-AirPett

    
por 26.05.2016 / 09:52