Por que mais organizações não configuram conversões de virada / curvas de NAT?

Navegue suas respostas
5

Eu fez uma pergunta parecida há algum tempo, mas referiu-se a NAT de dentro para dentro. Não sendo um administrador de rede, minha terminologia no lado da rede de coisas era limitada e conduzia a respostas que respondiam à minha pergunta, mas não ao espírito da minha pergunta.

Imagine uma situação comum para a maioria das pequenas e médias empresas que hospedam seus próprios servidores:

  1. Você tem um único firewall com várias interfaces. Eles são LAN, WAN e DMZ.

  2. Seus servidores de web / email têm endereços RFC1918 que são 1: 1 NAT da interface DMZ para IPs públicos.

  3. Dispositivos na interface LAN se comunicam regularmente com dispositivos na interface DMZ.

  4. Você tem um domínio do Active Directory chamado corp.example.com em que seus servidores da Web estão na zona example.com externa.

Em muitas implantações, é comum ver os servidores DNS internos (Controladores de Domínio do AD) hospedando uma cópia interna da example.com zone com os endereços RFC1918. Por que mais organizações não configuram conversões de virada / gancho de NAT para que você não precise de uma segunda cópia dessa zona com informações diferentes? Por que as organizações simplesmente não têm DNS interno para corp.example.com e DNS externo para example.com e chamam isso por dia?

Sim, em grandes empresas você teria, idealmente, firewalls DMZ separados e até mesmo conexões de internet DMZ separadas. Este não é o caso de nenhuma SMB que eu saiba.

Sim, o ASA tem algum licenciamento de baixa qualidade em relação a isso. Eu não me importo com restrições de licenciamento, é apenas dinheiro. Eu sei eles podem ser configurados para permitir isso com same-security-traffic .

Eu trabalhei em uma loja da Juniper por anos onde isso funcionava bem sem configurações malucas, como é que os administradores da Cisco parecem ter tantos problemas com isso? É realmente muito mais fácil de realizar no kit da Juniper? É uma limitação do IOS que faz com que os administradores de rede da Cisco não estejam interessados em configurá-lo?

    
por MDMarra 27.09.2013 / 19:06

2 respostas

7

Nem toda a rede usa dispositivos que podem NAT em velocidades de LAN. Não é incomum ter dispositivos que possam rotear 100Mb / s, mas NAT um décimo disso, enquanto sua LAN é toda gigabit.

Geralmente, você tem servidores no DMZ para os quais você precisa de acesso de alta velocidade localmente. Você quer fazer backup de seus e-mails e servidores da web, certo? E você quer seus backups na DMZ?

O NAT também interrompe conexões ociosas e de longa duração porque a tradução expira. Hairpin obscurece o endereço IP de origem, tornando as trilhas de auditoria inúteis. O NAT, diferente de 1 para 1, é uma invasão dolorosa e você deseja que o tráfego interno seja confiável.

Resistência ao ataque é outro problema. A inundação de conexão pode fazer com que seu dispositivo NAT fique sem slots e há empresas que reinicializam seus equipamentos voltados para a Internet regularmente e preferem não perturbar as conexões internas de longa duração. Mesmo que seu equipamento seja totalmente confiável, separar a rede interna dos dispositivos que lidam com o espaço IP público é apenas uma boa ideia.

    
por 27.09.2013 / 20:20
3

Foi assim que aprendi, então não tenho uma resposta melhor ... mas, para mim, elimina a dependência do dispositivo de firewall. Em pequenas empresas, os firewalls são tipicamente produtos low-end (pense em Linksys / Dlink / Sonicwall). Confiar nele para acessar recursos internos de dentro da rede pode criar problemas. É uma má dependência.

Eu tenho um cliente agora que reinicializa o firewall Cisco ASA 5510 várias vezes por dia para corrigir um problema de VoIP para usuários remotos (provavelmente um problema xlate). Para seus usuários internos que usam o Exchange e os serviços públicos / privados usuais, o redirecionamento interno do DNS, pelo menos, limita o impacto das reinicializações do firewall.

Editar:

Mas eu precisei de uma pitada recentemente ...

    
por 27.09.2013 / 19:18

Tags

O oposto de su: executa um comando sem privilégios de root Por que o DHCP tem números fixos de porta de cliente e servidor?