it-swarm-eu.dev

Jak důležitá je NAT jako vrstva zabezpečení?

Přihlásil jsem se, abych pomohl oddělení přemístit budovy a upgradovat jejich datovanou infrastrukturu. Toto oddělení má asi 40 zaměstnanců, 25 stolních počítačů, starý server Novell a hrst laboratorních strojů s připojenými systémy. Na starém místě mělo toto oddělení dvě sítě - LAN bez vnějšího přístupu na zcela samostatném přepínači a několik strojů s vnějším přístupem.

Toto nastavení se snažíme trochu modernizovat, stejně jako každý uživatel potřebuje přístup k e-mailu a systému sledování času.

Mateřská organizace (~ 10 000 zaměstnanců) má velké oddělení IT, které má na starosti připojení a telefonní systém v novém místě mimo pracoviště. Oddělení IT uverse spadl a nastavil VPN do své centrální sítě. Každá plocha musí být zaregistrována v systému/webové stránce oddělení IT, aby získala (statickou) IP adresu. Každá zadaná adresa IP je přístupná mimo jakýkoli port, který má službu naslouchající na klientském počítači.

Server obsahuje důvěrná data (HIPPA), stolní počítače mapovaly síťové jednotky pro přístup k (některým) těmto datům. Existuje také klient/server LIS.

Moje otázka zní: Stojí to za to smrdět, že všechny tyto stroje jsou venku přístupné?

Měli bychom:

  • Požádejte NAT o abstrakt mimo zevnitř, stejně jako firewall, který blokuje veškerý provoz, který není explicitně definován jako povolený? Pokud ano, jaké argumenty mohu učinit pro NAT/firewall, které převáží nad výhodami z toho, že každý stroj je registrován v jejich systému? V každém případě bych předával všechny požadavky týkající se IT od koncových uživatelů do oddělení IT - takže se nezdá být velmi nutné, aby byly svázány s konkrétními adresami v jejich systému. A co je nejdůležitější, zní to jako noční můra spravovat samostatné firewally na každé ploše (různé platformy/generace) a na serveru.
  • Požádejte oddělení IT. blokovat veškerý příchozí provoz do každé dostupné IP na všech existujících firewallech, které mají na svém místě
  • Udržujte oddělení LAN zcela izolovaná od internetu. Uživatelé musí sdílet vyhrazené stroje pro přístup k e-mailu, internetu a systému sledování času.

Předem děkujeme za jakékoli připomínky nebo rady k tomuto.

24
iainlbc

NAT a firewalling jsou zcela ortogonální koncepty, které spolu nemají nic společného. Protože některé NAT implementace náhodně poskytují některé firewalling, existuje přetrvávající mýtus, že NAT poskytuje zabezpečení . Poskytuje ne zabezpečení vůbec. Žádné. Nulové.

Například dokonale rozumná implementace NAT implementace by mohla, pokud měla pouze jednoho klienta, přeposlat všechny příchozí TCP a UDP pakety tomuto jednomu klientovi). by bylo přesně stejné, jako kdyby klient měl vnější adresu zařízení NAT).

Nemyslete si, že protože většina zařízení NAT má vestavěnou bránu firewall nebo některé náhodou, znamená to, že to znamená NAT sama o sobě poskytuje jakékoli zabezpečení. Je to firewall, který poskytuje zabezpečení, nikoli NAT. Účelem NAT je, aby věci fungovaly).

Nesmíte předpokládat, že stroj není mimo přístupný jen proto, že je za zařízením NAT====== (NAT $ =================== NAT = ===============================) zařízení. zařízení dělá NAT nebo ne.

Každý počítač s vnější adresou, ale se stavovým firewallem, který je správně nakonfigurován, spravován a monitorován, je obrovsky lepší než levný SoHo NAT box).

Mnoho skutečných SoHo NAT boxy předává provoz uvnitř hostitelů, i když žádný uvnitř host nikdy nezaslal provoz na zdroj předávaného provozu. Permisivní NAT opravdu existuje).

54
David Schwartz

Poté, co jsem strávil 7 let na univerzitě s/16 netblockem a dal všechno na ten netblock, který nebyl konkrétně zakázán, aby byl takový (PCI-DSS to vyžadovalo, dokud to neopraví), mám nějaké zkušenosti se sítěmi této povahy.

NAT není vyžadován. Vše NAT dělá, je ztěžovat průzkum sítě a nutí entitu do bezpečnějšího výchozí polohy. To znamená, že je možné vybudovat bezpečnou síť na veřejných IP adresách. Existovalo několik podsítí, které byly technicky směrovatelné, ale mimo obvodový firewall se tam nemohlo dostat.

Nyní za vaše další body:

Požádejte oddělení IT. blokovat veškerý příchozí provoz do každé dostupné IP na všech existujících firewallech, které mají na svém místě

To by mělo být provedeno ve výchozím nastavení. Na mé staré univerzitě nemusely být studentské počítačové laboratoře adresovatelné z internetu a nebyly. Totéž platí pro podsítě, které obsahovaly data Student Health Center Center. Pokud stroj musel být z nějakého důvodu zvenku viditelný, existoval elektronický dokument, který musel být předán a podepsán, než mohl být udělen; dokonce i pro servery v centralizovaném zásobníku IT.

Udržujte oddělení LAN zcela izolovaná od internetu. Uživatelé musí sdílet vyhrazené stroje pro přístup k e-mailu, internetu a systému sledování času.

Nemusíte jít tak daleko. Důvod, proč jít tak daleko, je, pokud máte obavy z vystavení informací o malwaru více, než je potřeba připojení k síťovým prostředkům. Věci jsou v dnešní době stále více založeny na cloudu/síti, takže takové sítě se vzduchovou mezerou jsou stále těžší a těžší je udržovat. Pokud opravdu potřebujete jít do tohoto rozsahu, možná budete chtít prozkoumat některé z možností Virtualizace aplikací tam, protože to může omezit vystavení narušení, pokud k nim dojde.

14
sysadmin1138

Jak již zdůraznili ostatní, NAT není funkce zabezpečení. Nabízí však určitou úroveň bezpečnosti jako vedlejší produkt: vedlejší účinek NAT je to, že žádný z vnitřních strojů není přístupný „zvnějšku“. Stejného efektu lze dosáhnout pomocí brány firewall, která blokuje všechna příchozí spojení. a pokud NAT nepřichází s touto „automatickou“ ochranou, napadne a zombifikuje mnohem více existujících sítí do spamových relé (to je děsivý bod o IPv6, mimochodem: IPv6, když [pokud] široce nasazen, bude mít tendenci anulovat ochranný účinek NAT a lze očekávat průměrné zvýšení úspěchu útoku).

Nyní dobře nakonfigurovaný firewall předpokládá, že kdokoli konfiguruje firewall, vykonává svou práci správně a bohužel to není dané (nechci předpokládat schopnosti konkrétního oddělení IT, ale průměrnou kvalitu práce IT oddělení po celém světě, zejména ve velkých organizacích, jsou méně než vzrušující). Alternativou je zajistit, aby každý veřejně přístupný stroj odolával všem druhům útoků souvisejících s příchozím připojením: zavřete všechny nepotřebné služby a ujistěte se, že služby, které zůstávají otevřené, jsou řádně aktuální a dobře nakonfigurované. Chcete používat aktualizace zabezpečení na každé pracovní stanici? A co se týká firmwaru síťových tiskáren?

Moje rada by byla instalace vlastního filtrovacího boxu, skrz který bude probíhat veškerá komunikace mezi vaší sítí a okolním světem. Toto pole by pak mělo odfiltrovat příchozí připojení; NAT a/nebo firewall, to je vaše volání. NAT může být jednodušší, zejména pokud je IT oddělení „nespolupracující“).

12
Tom Leek
8
symcbean

NAT není důležitá jako bezpečnostní vrstva a neměla by se považovat za poskytnutí jakékoli bezpečnosti (i když ji neúmyslně zvyšuje).

Nevím o kompatibilitě s HIPPA, ale kompatibilita s PCI vyžaduje velmi specifická nastavení pro počítače, které mají přístup k informacím o kreditní kartě. Měli byste navrhnout první splnění požadavků HIPPA a poté navrhnout další bezpečnostní opatření. Vtip shody s PCI spočívá v tom, že shoda snižuje riziko pokut, ale ne nutně snižuje riziko zneužití zabezpečení.

Pravidla HIPPA vás mohou informovat o tom, jak musíte zacházet s počítači, které mají přístup k datům HIPPA.

7
Bradley Kreider

I když vím něco o NAT a předávání portů, většinu z toho, co napsal David Schwartz, nesouhlasím. Může to být proto, že byl trochu nevyzpytatelný Přečtěte si druhý odstavec mé odpovědi.

NAT není odpovědí na všechno. Externím stranám to jen ztěžuje připojení k vašim službám. Většina implementací NAT provádí konverzi port-by-port) a pokud hostitel v příchozím paketu není rozpoznán, nebudou existovat žádná pravidla NAT pravidla, která se mají dodržovat, proto byla zamítnuta) připojení Toto stále ponechává některé díry s klientem serveru připojeným k připojení zpět.

Důležitější je zabezpečit se před vnitřními i vnějšími připojeními. NAT tímto způsobem poskytuje falešné zabezpečení. Potřebujete pouze jednu chybu z USB flash disku a mohlo by dojít k přesměrování připojení, které umožní všem.

Bez ohledu na váš prostor IP byste měli omezit připojení na povolená. Pracovní stanice by obvykle neměly mít povoleno připojení ke službě SQL. Já osobně nemám rád stavové firewally, ale každý ke svému vlastnímu. Jsem spíš typ chlapa typu --- zrušte všechny pakety.

4
Antti Rytsölä

Každá odpověď na toto vlákno týkající se NAT zanedbává důležitý aspekt NAT. Implementace NAT vytváří interní, soukromý, nerutabilní) rozsah adres. Výraz „nerutabilní“ je významný. Hackeři rádi exfiltrují síťové datové toky organizace a provoz s místním interním síťovým provozem v rozsahu veřejné adresy znamená, že celá představa o hloubce obrany je významně Proč by kdokoli chtělo vytvořit podmínky, které umožní, aby byl váš místní provoz směrovatelný s globálním internetem? Aby byl věci tak snadné, mohl útočník se zlými úmysly hacknout zařízení a přidat trasy - ale proč byste dát takový jednotlivec, který by byl méně překážkou při zpětném toku vašich interních datových toků v síti?

Jinak řečeno, pokud by soudní spory vyplynuly z porušení HIPAA, co lunatic by mohlo postavit soudní síň a přísahat, že dát hackerovi přímý let k vašim citlivým informacím bylo rozumné rozhodnutí? Byli by domácí výrobci bezdrátových směrovačů přestali používat jako obvyklé výchozí nastavení NAT), protože jim jejich právní zástupce řekne: "Jasně - hodte kostkami ... Měli bychom spálit náš zákonný rozpočet na desetiletí a bránit případ, kdy umístěte osobní obytné systémy do nespočetných domácností ve stavu, který (v podstatě) opouští jejich společné kalhoty, které byly dole kolem jejich kotníků! "

Mám podezření, že je příliš mnoho lidí, kteří se jednoduše snaží omluvit implementaci, protože nemohou nebo nebudou mít čas nakonfigurovat správný statický nebo dynamický NAT nebo PAT jako nejlepší postup. PROSÍM, vyhněte se zbytečnému výsměchu a - vězení čas ignorováním federálních standardů. Pokud přijmete jakékoli federální zdravotní pojištění, minima NIST jsou požadováno. Debatujte o elegantních výjimkách pro danou technologii mimo vše, co chcete, ale nedejme kdokoli dojem, že je to dobrý nápad učinit prostředí zranitelnějším. Hypotetika stranou, dělá správné věci dělá zabere více času a úsilí ... ale existují případy, kdy je správná věc tou nejlepší volbou .

1

NAT je Firewall. A nejde o názor. Je to fakt. Pohled do definice Firewallu:

Brána firewall je „systém nebo kombinace systémů, které vynucují hranici mezi dvěma nebo více sítěmi“.

Standardní šablona Asociace počítačové bezpečnosti Asociace firewall

NAT vytvoří přesně takový druh hranice.

Další brány firewall možná poskytují možnost blokovat odchozí připojení, nejen příchozí připojení. Pěkná vlastnost, ale ne ta hlavní.

Když už mluvíme o funkcích, DMZ je díra mezi sítěmi. Normálně poskytuje způsob, jak vystavit interní službu internetu. I když to není technicky součástí definice NAT, je to funkce všech moderních NATů

NAT je firewall a v některých situacích ten nejlepší. Stateful inspekční firewally, které nedělají NAT, dělají většinou "selhání". Jako vývojář jsem pracoval pro společnost „firewall nové generace“. Aby bylo možné provést inline detekci protokolu/aplikace, musely některé pakety projít, dokud se nezjistí. Neexistoval žádný způsob, jak to uložit do vyrovnávací paměti, aniž by došlo k prodlení. Téměř všechna řešení DPI fungují takto.

Na druhou stranu NAT selhala. Časté chyby spíše znemožňují přístup k internetu než k přístupu z Internetu.

1
VP.

S ohledem na vaši otázku „mám smrdět?“ Navrhuji, aby bylo hodnocení rizika (problém, pravděpodobnost, dopad, zmírnění) zdokumentováno a předloženo zúčastněným stranám. Pokud uděláte osamělé rozhodnutí, aniž byste to sdělili a došlo k významnému porušení, mohlo by to pro vás být špatné.

0
gatorback