NAT como firewall

Navegue suas respostas
5

Tradução de Endereço de Rede (NAT), parece funcionar como um firewall para os hosts por trás dele, porque eles não estão disponíveis. Embora eu nunca confiasse nisso como meu firewall, quais são suas falhas como firewall?

Eu estou pedindo isso para o que eu chamaria de razões 'acadêmicas'. Estou ciente de que o NAT não protegerá as pessoas de entrarem no próprio dispositivo de firewall e que mais camadas de segurança são melhores. Estou mais interessado em saber como o NAT está sendo usado para esse propósito, como o próprio NAT pode ser explorado.

Atualização, por exemplo:
Um IP público: 10.10.10.10
Uma LAN: 192.168.1.1/24

Se todo o tráfego de saída da LAN tiver NAT de saída para 10.10.10.10 e o único outro mapeamento de NAT for 10.10.10.10, a porta 80 será mapeada para 192.168.1.100. Como a porta 22 em 192.168.1.50 pode ser acessada?

    
por Kyle Brandt 09.09.2009 / 14:44

5 respostas

8

Com o NAT, os endereços IP na rede interna não são roteáveis do externo; a comparação com um firewall não é completamente correta, porque um firewall filtra o tráfego de rede que, normalmente, deve poder fluir através dele; O NAT remodela o tráfego que normalmente não deve ser capaz de fluir dessa forma, permitindo que ele flua sob algumas regras específicas.

Um firewall protege uma porta que seria aberta de outra forma.
Um NAT abre uma porta onde não há um.

Com um firewall, você poderia permitir todo o tráfego da rede externa para a rede interna protegida; com um NAT você não poderia , mesmo se quisesse.

São duas coisas totalmente diferentes, mesmo que sejam confusas; No que diz respeito à segurança, uma rede IP privada atrás de um NAT é realmente mais segura do que uma rede IP pública atrás de um firewall.

Atualizar para responder ao seu exemplo

É exatamente disso que eu estava falando; no seu caso, 192.168.1.50 não é endereçável de fora, então não há absolutamente nenhuma maneira ele pode ser acessado, a menos que você encaminhe explicitamente algum IP / port externo para ele .

    
por 09.09.2009 / 14:54
1

Por padrão, um NAT simples descartaria ou rejeitaria qualquer conexão de entrada para uma porta não mapeada. Isso por si só é o primeiro e mais importante recurso de um firewall. Então, sim, um NAT funciona como um firewall limitado.

Mas há duas limitações importantes:

  1. Por padrão, um NAT não bloqueia nenhuma conexão de saída, então você fica vulnerável a qualquer tipo de infecção que possa entrar de alguma forma. O exemplo mais simples é uma página da Web mal-intencionada ou um anexo de e-mail. Em muitos casos, esses malwares incluem código muito limitado no primeiro carregamento e precisam de alguma "assistência" de fora. Se você tiver um firewall com restrições rígidas, ele poderá bloquear essa etapa, parando ou retardando o dano.

    • A função primária de um NAT é facilitar a conexão e não bloqueá-la. Portanto, geralmente é desejável oferecer uma maneira de contornar a limitação de NAT inerente nas conexões de entrada. UPnP, STUN, Teredo, SOCKS, etc., tornam possível que uma máquina em sua rede solicite conexões de entrada. Um NAT que não os torna possíveis é visto como excessivamente e desnecessariamente restritivo; então o cenário 'ideal' é aquele em que o NAT permite um 'furo' fácil e um firewall adequado permite que o administrador aplique políticas.
por 09.09.2009 / 17:13
0

Existem diferentes cenários:

  1. você não precisa expor nenhum serviço por meio do encaminhamento de porta, portanto, seu NAT é completamente um sentido para conexão no estado NEW
  2. você precisa realizar um encaminhamento de porta no dispositivo NAT para expor um ou mais serviços públicos
  3. você pensa cegamente que todos os PCs e usuários por trás de seu NAT estão protegidos contra vários ataques indiretos:
    • engenharia social
    • vírus / trojans
    • más intenções
    • o que um "usuário" pode fazer para minerar a segurança de dentro

Se você usa um NAT e nenhum FW real, as consequências são:
  - o ponto 1 é seguro tanto quanto o ponto 3 pode ser   - se você expuser serviços, posso usá-los para obter acesso à LAN (é claro)
  - Eu posso enviar um Trojan, um malware ou o que você quiser, que seja capaz de abrir um reverse shell , ou mais geralmente, para atuar como uma conexão reversa.

Em todos esses casos, você seria capaz de obter uma proteção melhor se estivesse atrás de um FW real.

Pelas mesmas razões, também filtro o tráfego de saída nos meus FW / servidores. A fim de limitar o máximo possível a possibilidade de abrir conexões reversas.

P: Como a porta 22 em 192.168.1.50 pode ser acessada?
R: Encontre uma maneira (veja acima) para instalar um programa de conexão reversa em um PC ou servidor dentro da LAN, do que é trivial para acessar tudo dentro da LAN, como você é dentro. Apenas um ssh -L pode fazer o trabalho

    
por 09.09.2009 / 16:26
0

Você teria que hackear uma conexão para invadir a rede interna, mas isso poderia ser feito. Um homem no ataque do meio seria a primeira coisa que vem à minha mente ... Este é o lugar onde um firewall real seria melhor do que uma caixa NAT. Um firewall pode ter inteligência (IPS Intrusion Prevention) embutida para observar explorações comuns.
BTW, uma caixa NAT verdadeira apenas usa a tabela de consulta NAT para alterar os endereços IP dos clientes internos para endereços externos. O que a maioria das pessoas pensa de uma caixa NAT é realmente uma PAT (Port Address Translation) . Um IP externo e muitos endereços IP internos. Nesse caso, tanto o endereço IP quanto a porta de origem são traduzidos.

Em conclusão, uma caixa NAT verdadeira é fácil de passar. Uma caixa PAT é mais difícil, mas ainda pode ser comprometida com um ataque bem básico.

    
por 09.09.2009 / 16:19
0

Em geral, um dispositivo de perímetro (NAT Router / Firewall, etc.) pode ser explorado devido a erros de implementação (como permitir acesso de administrador ou uPnP (consulte link ) de uma interface externa, ou erros do operador humano (como abrir um furo para o encaminhamento de porta e esquecer está lá).

Os firewalls são mais complicados e, portanto, mais propensos a erros humanos. Também não protege você contra engenharia social, phishing, etc. Os firewalls de inspeção de pacotes de nível superior podem detectar malware.

Outras falhas potenciais podem ser causadas em problemas de implementação em outros equipamentos, como uma vulnerabilidade no sistema exposto por encaminhamento de porta, uPnP, etc. Como o roteador NAT encaminha pacotes para um dispositivo, o dispositivo deve, portanto, se proteger. BTW Algumas pessoas sugerem uma configuração de duplo NAT, com os serviços mais seguros por trás de dois roteadores NAT, e minidores de console de jogos e bits bitcoin apenas protegidos pelo único roteador NAT.

Um potencial vetor de ataque seria o uso de tráfego baseado em UDP que é exposto pelo processo NAT, já que o UDP não tem estado - o protocolo deve autenticar o estado da sessão e pode ter falhas. Os roteadores NAT abrem uma porta UDP por um período de tempo e usa um tempo limite para fechá-los, combinado com o endereço IP da conexão remota. (Uma sessão TCP possui um sinalizador F para indicar que a sessão foi concluída). Veja link para o tipo de problema que o UDP pode causar.

    
por 23.04.2013 / 22:11

Tags

Padrão rsize e wsize para nfs v3 Como eu migro do RHEL 5 para o CentOS 5?