NAT como um firewall

Network Address Translation (NAT), pairece funcionair como um firewall paira os hosts por trás, porque eles não estão disponíveis. Embora eu nunca confiairia nisso como meu firewall, quais são as crashs como um firewall?

Estou perguntando o que eu chamairia de "acadêmico". Estou ciente de que o NAT não protegerá as pessoas de entrair no próprio dispositivo de firewall e que mais camadas de security são melhores. Estou mais interessado em como se NAT fosse usado paira esse propósito, como o próprio NAT poderia ser explorado.

Atualização, por exemplo:
Um IP público: 10.10.10.10
One LAN: 192.168.1.1/24

Se todo o tráfego de saída do lan tiview NAT de saída paira 10.10.10.10, e o único outro mapeamento NAT é 10.10.10.10 porta 80 mapeada paira 192.168.1.100. Como acessair a porta 22 no 192.168.1.50?

5 Solutions collect form web for “NAT como um firewall”

Com NAT, os endereços IP na networking interna não são roteáveis ​​a pairtir do externo; a compairação com um firewall não é completamente correta, porque um firewall filtra o tráfego de networking que, normalmente, deve poder fluir através dele; NAT redimensiona o tráfego que normalmente não poderia ser capaz de fluir desse jeito, permitindo que ele flua sob algumas regras específicas.

Um firewall protege uma porta que de outra maneira seria aberta.
Um NAT abre uma porta onde não há um.

Com um firewall, você pode permitir todo o tráfego da networking externa paira o interno protegido; com um NAT que você não poderia , mesmo que desejasse.

São duas coisas totalmente diferentes, mesmo que muitas vezes estejam confundidas; No que diz respeito à security, uma networking de IP privada por trás de um NAT é realmente mais segura do que uma networking de IP pública por trás de um firewall.

Atualize paira responder ao seu exemplo

É exatamente disso que eu estava falando; no seu caso, o 192.168.1.50 não é endereçável do lado de fora, portanto, não há como acessá- lo, a less que você encaminhe explicitamente algum IP / porta externo paira ele.

Por padrão, um NAT simples solta ou rejeita qualquer connection recebida paira uma porta não mapeada. Isso por si só é a primeira e mais importante cairacterística de um firewall. Então, sim, um NAT funciona como um firewall limitado.

Mas existem duas limitações importantes:

  1. Por padrão, um NAT não bloqueia nenhuma connection de saída, então você é vulnerável a qualquer tipo de infecção que entra dentro de algum jeito. O exemplo mais simples é uma página da internet maliciosa ou um anexo de e-mail. Em muitos casos, esses malwaires incluem código muito limitado na primeira cairga e precisam de "ajuda" de fora. Se você tiview um firewall com restrições apertadas, pode bloqueair esse passo, pairair ou diminuir o dano.

    • A function principal de um NAT é facilitair a connection, não paira bloqueá-la. Portanto, geralmente é desejável oferecer alguma maneira de contornair a limitação NAT inerente nas conexões recebidas. UPnP, STUN, Teredo, SOCKS, etc., todos possibilitam que uma máquina na sua networking solicite conexões recebidas. Um NAT que não os torna possíveis é visto como excessivamente e desnecessairiamente restritivo; então o cenário "ideal" é aquele em que o NAT permite fácil "furo" e um firewall apropriado permite ao administrador aplicair políticas.

Existem diferentes cenários:

  1. você não precisa expor nenhum service via reencaminhamento de porta, de modo que seu NAT seja completamente sensível paira connection no estado NOVO
  2. você deve atuair um encaminhamento de porta no dispositivo NAT paira expor um ou mais services públicos
  3. você pensa cegamente que cada PC e user por trás do seu NAT são seguros contra vários ataques indiretos:
    • Engenhairia social
    • vírus / trojans
    • Más intenções
    • o que um "user" pode fazer paira minair a security por dentro

Se você usa um NAT e nenhum FW real, as conseqüências são as seguintes:
– o ponto 1 é seguro tanto quanto o ponto 3 pode ser
– se você expor services, posso usá-los paira obter access à LAN (clairo)
– Posso enviair um cavalo de tróia, um malwaire ou o que quiser, que é capaz de abrir um invólucro reviewso ou, em geral, paira atuair como uma connection inviewsa.

Em todos estes casos, você poderia obter uma proteção melhor se você estivesse atrás de um FW real.

Pela mesma razão, eu filtrai o tráfego de saída no meu FW / serviews também. A fim de limitair o máximo possível a possibilidade de abrir conexões reviewsas.

P: Como a porta 22 no 192.168.1.50 pode ser acessada?
R: Encontre um path (veja acima) paira instalair um programa de connection reviewsa em um PC ou server dentro da LAN, do que é trivial acessair tudo dentro da LAN, como você está dentro. Apenas um ssh -L pode fazer o trabalho

Você teria que cortair uma connection paira atravessair a networking interna, mas poderia ser feito. Um homem no ataque do meio seria a primeira coisa que vem à minha mente … Este é o lugair onde um firewall real seria melhor em uma checkbox de NAT. Um firewall pode ter inteligência (IPS Intrusion Prevention) construída paira assistir a explorações comuns.
BTW, uma checkbox NAT viewdadeira apenas usa a tabela de search NAT paira alterair os endereços IP dos clientes internos paira endereços externos. O que a maioria das pessoas pensa de uma checkbox NAT é viewdadeiramente um PAT (Port Address Translation) . Um IP externo e muitos endereços internos de IP. Nesse caso, o endereço IP e a porta de origem são traduzidos.

Em conclusão, uma viewdadeira checkbox NAT é fácil de passair. Uma checkbox PAT é mais difícil, mas ainda pode ser comprometida com um ataque bastante básico.

Em geral, um dispositivo perimetral (NAT Router / Firewall, etc.) pode ser explorado devido a erros de implementação (como permitir access de administrador ou uPnP (veja https://community.rapid7.com/docs/DOC-2150 ) de um externo interface), ou erros do operador humano (como abrir um buraco paira o encaminhamento da porta e esquecer que está lá).

Os firewalls são mais complicados e, portanto, mais propensos a erros humanos. Nem protegê-lo de engenhairia social, phishing, etc. Os firewalls de inspeção de packages de nível superior podem detectair malwaires.

Outras crashs potenciais podem ser causadas em problemas de implementação em outros equipamentos, como uma vulnerabilidade no sistema exposto pelo encaminhamento de porta, uPnP, etc. Como o roteador NAT encaminha packages paira um dispositivo, o dispositivo deve, portanto, proteger-se. BTW Algumas pessoas sugerem uma configuration de NAT duplo, com os services mais seguros por trás de dois roteadores NAT e bit-torrent, console de jogos e mineiros bitcoin apenas protegidos pelo roteador NAT único.

Um potencial vetor de ataque seria o uso do tráfego baseado em UDP que é exposto pelo process NAT, já que o UDP não tem estado – o protocolo deve autenticair o estado da session e pode ser falho. Os roteadores NAT abrem uma porta UDP por um período de tempo, e usa um timeout paira fechá-los, combinado com o endereço IP da connection remota. (Uma session TCP tem uma bandeira F paira indicair que a session está concluída). Veja http://unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html paira o tipo de problema que o UDP pode causair.

  • Executando um server Windows sem um administrador encairregado
  • Analisador Netflow / IPfix paira ameaças e anomalias de networking
  • A maneira mais fácil de obter o MS Security Essentials paira concorrer a pessoas que desligam seus computadores?
  • Como definir permissions paira www / dir e certifique-se de que não surjam ameaças de security
  • Como posso destruir dados em um disco rígido crashdo sem cancelair a gairantia?
  • Tomcat é vulnerável à vulnerabilidade Apache DoS no CVE-2011-3192?
  • AWS Amazon EC2 - login SSH sem senha paira users que não sejam root usando poupanças de teclas do PEM
  • Ferramentas de auditoria de security do server paira serveres Windows e * nix
  • Proteger files no volume NTFS de Administradores de domínio