É uma melhoria de segurança usar a rede NAT?

1

Existe um site que bloqueia a sub-rede de um ISP (porque os ataques provêm dessa rede).

O ISP fornece aos seus usuários apenas endereços IP NAT, de forma que os clientes obtenham endereços IP 10.x.x.x em seus roteadores.

Pedi ao ISP para parar de fazer isso (dando IPs NAT para os clientes), ou usar o IPv6 ou telefonar para a pessoa que fez os ataques para reinstalar a área de trabalho, já que ela provavelmente está infectada por vírus.

O ISP respondeu: É uma precaução de segurança usar o NAT.

Alguém pode explicar como o NAT torna uma rede mais segura? AFAIK NAT não foi projetado para segurança.

    
por somelooser28533 21.10.2014 / 11:04

2 respostas

4

Na minha opinião, embora não seja falso, não é verdade, e qualquer um que afirme que é, sem entender por que deve ser examinado de perto por sinais de óleo de cobra.

Nos primórdios, os firewalls (quando existiam) eram dispositivos simples de inspeção de pacotes. Eles tomariam uma decisão sobre encaminhar ou descartar um pacote baseado somente nas características do próprio pacote . Você pode dizer " esse pacote vem da porta TCP 80, ele tem os sinalizadores SYN e ACK definidos, então é (muito provavelmente) uma resposta do servidor web a uma tentativa inicial de conexão TCP, então deixe-o entrar .

Uma melhoria significativa na segurança do firewall foi o firewall stateful . Isto tinha uma memória de tráfego flui através dele antes da consideração de qualquer pacote dado que foi usado para informar a decisão sobre aquele pacote.

Com um firewall dinâmico, você pode dizer " esse pacote vem da porta TCP 80, e o endereço e porta de origem correspondem ao endereço de destino e porta de um pacote TCP SYN que passou por mim há 75ms, então é uma resposta do servidor da web a uma tentativa inicial de conexão TCP iniciada dentro da minha rede confiável, portanto, deixe-a entrar em .Você pode ver um echo-reply do ICMP e permitir somente se ele corresponder a um% recenteecho-request para um servidor externo específico e assim por diante.

A coisa sobre o NAT em firewalls é eles são implicitamente stateful . Como todo o tráfego de dentro para fora deve ser rebadged com um novo endereço de origem antes que a Internet tenha qualquer chance de respondê-lo, o tráfego só pode fluir de fora para dentro se o firewall tiver um registro de qual máquina interna enviou recentemente algum tráfego para gerar a resposta. Se o firewall não tiver tal registro, não poderá reescrever o endereço IP de destino do pacote de entrada, porque ele não terá a menor idéia de qual endereço interno para reescrevê-lo.

Então, meu sentimento é que os firewalls com estado são mais seguros do que os firewalls sem estado, e todos os firewalls NAT são implicitamente stateful. É claro que todos os outros firewalls que eu já vi na última década também são statefully capazes, então, desde que um firewall não-NATting não tenha sido muito mal configurado, ele também ofereceu segurança. Eu nunca vi nenhuma análise que me sugerisse que o NAT tivesse quaisquer vantagens de segurança além do estado implícito.

    
por 21.10.2014 / 16:23
2

O NAT é mais seguro porque, a menos que as portas sejam especificamente encaminhadas, simplesmente não há rota para os hosts por trás dele. Um firewall que bloqueia por padrão pode fornecer o mesmo nível, portanto, um argumento contra o NAT é que ele não fornece segurança extra , no entanto, pressupõe-se que um firewall bem gerenciado esteja lá, em primeiro lugar.

Pragmaticamente, despejar pessoas com trojans por trás do NAT provavelmente é um pouco eficaz e requer consideravelmente menos recursos do que tentar filtrar todo o tráfego. Muitas coisas são boas para usos diferentes da intenção original. A internet não está pronta para o IPv6, então nem isso nem chamar as pessoas é realmente uma solução viável. Além disso, como os endereços IPv4 estão se esgotando, o compartilhamento de endereços por NAT provavelmente é algo que eles estão procurando desculpas para usar. (não há incentivo para que eles invistam no IPv6 quando existe uma alternativa mais barata)

    
por 21.10.2014 / 11:58

Tags