it-swarm-eu.dev

Wie wichtig ist NAT als Sicherheitsschicht?

Ich habe mich angemeldet, um einer Abteilung beim Umzug von Gebäuden und beim Upgrade ihrer veralteten Infrastruktur zu helfen. Diese Abteilung hat ungefähr 40 Mitarbeiter, 25 Desktops, einen alten Novell-Server und eine Handvoll Laborverarbeitungsmaschinen mit angeschlossenen Systemen. Am alten Standort verfügte diese Abteilung über zwei Netzwerke - ein LAN ohne externen Zugriff auf einem vollständig separaten Switch und einige Computer mit externem Zugriff.

Wir versuchen, dieses Setup ein wenig zu modernisieren, da so ziemlich jeder Benutzer auf E-Mails und das Zeiterfassungssystem zugreifen muss.

Die Mutterorganisation (~ 10.000 Mitarbeiter) verfügt über eine große IT-Abteilung, die für das Verbindungs- und Telefonsystem am neuen Standort außerhalb des Unternehmens zuständig ist. Die IT-Abteilung. Uverse war vorbeigekommen und hatte ein VPN für ihr zentrales Netzwerk eingerichtet. Jeder Desktop muss im System/auf der Website der IT-Abteilung registriert sein, um eine (statische) IP-Adresse zu erhalten. Auf jede angegebene IP-Adresse kann an jedem Port zugegriffen werden, an dem ein Dienst auf dem Clientcomputer überwacht wird.

Der Server verfügt über vertrauliche (HIPPA) Daten. Die Desktops haben Netzwerklaufwerke zugeordnet, um auf (einige) dieser Daten zuzugreifen. Es gibt auch ein Client/Server-LIS.

Meine Frage lautet: Lohnt es sich zu stinken, dass alle diese Maschinen von außen zugänglich sind?

Sollten wir:

  • Request NAT, um das Äußere von innen zu abstrahieren, sowie eine Firewall, die den gesamten Datenverkehr blockiert, der nicht explizit als zulässig definiert ist? Wenn ja, welche Argumente kann ich für NAT/Firewall vorbringen, die die Vorteile überwiegen In beiden Fällen würde ich alle IT-bezogenen Anforderungen der Endbenutzer an die IT-Abteilung weiterleiten. Daher scheint es nicht sehr notwendig zu sein, sie an bestimmte Adressen in ihrem System zu binden. Vor allem klingt es wie ein Albtraum, separate Firewalls auf jedem Desktop (unterschiedliche Plattformen/Generationen) und auf dem Server zu verwalten.
  • Fordern Sie die IT-Abteilung an. Blockieren Sie den gesamten eingehenden Datenverkehr zu jeder WAN-zugänglichen IP auf den vorhandenen Firewalls
  • Halten Sie das LAN der Abteilungen vollständig vom Internet isoliert. Benutzer müssen dedizierte Computer für den Zugriff auf E-Mail, Internet und Zeiterfassungssystem freigeben.

Vielen Dank im Voraus für Kommentare oder Ratschläge dazu.

24
iainlbc

NAT und Firewall sind völlig orthogonale Konzepte, die nichts miteinander zu tun haben. Da einige NAT Implementierungen versehentlich einige Firewalling bereitstellen, gibt es einen anhaltenden Mythos, dass NAT Sicherheit bietet) Es bietet nein Sicherheit. Keine. Null.

Zum Beispiel könnte eine absolut vernünftige NAT -Implementierung, wenn sie nur einen Client hätte, alle eingehenden TCP und UDP-Pakete an diesen einen Client weiterleiten. Der Nettoeffekt Dies wäre genau das Gleiche, als hätte der Client die externe Adresse des Geräts NAT).

Denken Sie nicht, dass dies bedeutet, dass die meisten NAT Geräte) eine Firewall haben, die vom Design her eingebaut ist, oder versehentlich, dass dies bedeutet, dass NAT selbst selbst Sicherheit bietet Die Firewall, die die Sicherheit bietet, nicht das NAT. Der Zweck von NAT ist es, Dinge zum Laufen zu bringen.

Sie dürfen nicht davon ausgehen, dass ein Computer nicht von außen zugänglich ist, nur weil er sich hinter einem NAT Gerät) befindet. Er ist nicht von außen zugänglich, wenn ein Gerät speziell so konfiguriert ist, dass von außen nicht darauf zugegriffen werden kann Gerät tut NAT oder nicht.

Jeder Computer mit einer externen Adresse, aber einer ordnungsgemäß konfigurierten, verwalteten und überwachten Stateful Firewall ist weitestgehend einer billigen SoHo NAT Box) überlegen.

Viele tatsächliche SoHo NAT - Boxen leiten den Datenverkehr an interne Hosts weiter, obwohl noch nie ein interner Host Datenverkehr an die Quelle des weitergeleiteten Datenverkehrs gesendet hat. Permissive NAT existiert tatsächlich.

54
David Schwartz

Nachdem ich gerade 7 Jahre an einer Universität mit einem/16-Netzblock verbracht und alles auf diesen Netzblock gelegt habe, was nicht ausdrücklich verboten war (PCI-DSS erforderte dies, bis sie es reparierten), habe ich einige Erfahrungen mit Netzwerken dieser Art.

NAT ist nicht erforderlich. Alles, was NAT tut), macht es etwas schwieriger, ein Netzwerk zu erkunden, und zwingt eine Entität in eine standardmäßig sicherere Haltung. Das heißt, es ist durchaus möglich, ein sicheres Netzwerk aufzubauen Es gab ein paar Subnetze, die technisch routingfähig waren, aber nichts außerhalb der Perimeter-Firewall konnte dorthin gelangen.

Nun zu Ihren anderen Punkten:

Fordern Sie die IT-Abteilung an. Blockieren Sie den gesamten eingehenden Datenverkehr zu jeder WAN-zugänglichen IP auf den vorhandenen Firewalls

Dies sollte standardmäßig erfolgen. In meiner alten Universität mussten die Student Computer Lab-Stationen nicht über das Internet adressierbar sein, und das waren sie auch nicht. Gleiches galt für die Subnetze, in denen die Daten des Student Health Center gespeichert waren. Wenn eine Maschine aus irgendeinem Grund von außen sichtbar sein musste, gab es ein elektronisches Dokument, das herumgereicht und unterschrieben werden musste, bevor es gewährt werden konnte. auch für Server im zentralen IT-Stack.

Halten Sie das LAN der Abteilungen vollständig vom Internet isoliert. Benutzer müssen dedizierte Computer für den Zugriff auf E-Mail, Internet und Zeiterfassungssystem freigeben.

Sie müssen nicht so weit gehen. Der Grund dafür ist, dass Ihre Angst vor der Verbreitung von Informationen im Zusammenhang mit Malware höher ist als die Notwendigkeit einer Verbindung zu netzwerkbasierten Ressourcen. Die Dinge sind heutzutage zunehmend Cloud-/Netzwerk-basiert, so dass solche Netzwerke mit Luftspalt immer schwieriger zu warten sind. Wenn Sie wirklich in diesem Umfang vorgehen müssen, sollten Sie sich einige der verfügbaren Optionen für die Anwendungsvirtualisierung ansehen, da dies die Gefährdung durch Verstöße begrenzen kann, falls sie auftreten sollten.

14
sysadmin1138

Wie andere bereits betont haben, NAT ist kein Sicherheitsmerkmal. Es bietet jedoch ein gewisses Maß an Sicherheit als Nebenprodukt: ein Nebeneffekt von NAT ist, dass keiner der inneren Computer "von außen" zugänglich ist. Der gleiche Effekt kann durch eine Firewall erzielt werden, die alle eingehenden Verbindungen blockiert. Dies ist nicht feinkörnig, aber in der Praxis eher effektiv. und wenn NAT nicht mit diesem "automatischen" Schutz ausgestattet wäre, würden viel mehr vorhandene Netzwerke angegriffen und in Spam-Relays zombifiziert (das ist übrigens der beängstigende Punkt bei IPv6: IPv6, wenn [wenn] weit verbreitet, wird die Tendenz haben, die Schutzwirkung von NAT aufzuheben, und man kann eine durchschnittliche Steigerung des Angriffserfolgs erwarten).

Bei einer gut konfigurierten Firewall wird davon ausgegangen, dass jeder, der die Firewall konfiguriert, seine Arbeit korrekt ausführt. Dies ist leider keine Selbstverständlichkeit (ich möchte nicht von den Fähigkeiten Ihrer spezifischen IT-Abteilung ausgehen, sondern von der durchschnittlichen Qualität der Arbeit von IT-Abteilungen auf der ganzen Welt, insbesondere in großen Unternehmen, sind weniger als aufregend. Die Alternative besteht darin, sicherzustellen, dass jeder einzelne öffentlich zugängliche Computer allen Arten von Angriffen im Zusammenhang mit eingehenden Verbindungen widersteht: Schließen Sie alle nicht benötigten Dienste, stellen Sie sicher, dass die geöffneten Dienste ordnungsgemäß aktualisiert und gut konfiguriert sind. Möchten Sie Sicherheitsupdates auf jeder einzelnen Workstation anwenden? Und auf der Firmware von netzwerkfähigen Druckern?

Mein Rat wäre, eine eigene Filterbox zu installieren, über die die gesamte Kommunikation zwischen Ihrem Netzwerk und der Außenwelt erfolgt. Diese Box sollte dann eingehende Verbindungen herausfiltern. NAT und/oder Firewall, das ist Ihr Anruf. NAT kann einfacher sein, insbesondere wenn die IT-Abteilung "nicht kooperativ" ist.

12
Tom Leek
8
symcbean

NAT ist als Sicherheitsschicht nicht wichtig und sollte nicht als Sicherheit angesehen werden (auch wenn es versehentlich sicherer wird).

Ich kenne die HIPPA-Konformität nicht, aber die PCI-Konformität erfordert sehr spezielle Einstellungen für Computer, die Zugriff auf Kreditkarteninformationen haben. Sie sollten zunächst die HIPPA-Anforderungen erfüllen und dann zusätzliche Sicherheitsmaßnahmen entwerfen. Der Witz der PCI-Konformität besteht darin, dass die Konformität das Risiko von Bußgeldern verringert, aber nicht unbedingt das Risiko von Sicherheits-Exploits.

Die HIPPA-Regeln informieren Sie möglicherweise darüber, wie Sie die Computer behandeln müssen, die Zugriff auf HIPPA-Daten haben.

7
Bradley Kreider

Obwohl ich etwas über NATs und Portweiterleitungen weiß, stimme ich den meisten Aussagen von David Schwartz nicht zu. Es könnte sein, dass er etwas unhöflich war Lesen Sie den zweiten Absatz meiner Antwort.

NAT ist nicht die Antwort auf alles. Es macht es nur für externe Parteien schwierig, eine Verbindung zu Ihren Diensten herzustellen. Die meisten NAT - Implementierungen konvertieren Port für Port, und wenn der Host im eingehenden Paket nicht erkannt wird, gibt es keine NAT - Regeln, die befolgt werden müssen, daher abgelehnt Verbindung. Dadurch bleiben noch einige Lücken mit dem Server-Client, der gerade mit dem Zurückverbinden verbunden ist.

Wichtiger ist es, sich sowohl vor internen als auch vor externen Verbindungen zu schützen. NAT bietet auf diese Weise falsche Sicherheit. Sie benötigen nur einen Fehler von einem USB-Stick und es kann eine Verbindungsweiterleitung geben, die alle einlässt.

Unabhängig von Ihrem IP-Speicherplatz sollten Sie die Verbindungen auf die zulässigen beschränken. Arbeitsstationen sollten normalerweise keine Verbindung zum SQL-Dienst herstellen dürfen. Ich persönlich mag keine Stateful Firewalls, sondern jede für sich. Ich bin eher der Typ vom Router-Typ alle Pakete verwerfen.

4
Antti Rytsölä

Jede Antwort auf diesen Thread bezüglich NAT vernachlässigt einen wichtigen Aspekt von NAT. Die Implementierung von NAT erstellt ein internes, privates, nicht routbar Adressbereich. Der Begriff "nicht routbar" ist von Bedeutung. Hacker lieben es, die Netzwerkdatenströme eines Unternehmens zu filtern, und mit Ihrem lokalen internen Netzwerkverkehr in einem öffentlichen Adressbereich zu arbeiten, bedeutet den gesamten Begriff der Tiefenverteidigung wird erheblich verringert. Warum sollte irgendjemand Bedingungen schaffen wollen, die es ermöglichen, dass Ihr lokaler Verkehr zum globalen Internet routingfähig ist? Um die Sache so einfach wie möglich zu machen, könnte ein böswilliger Angreifer das Gerät hacken und Routen hinzufügen - aber warum würden Sie geben eine solche Person weniger Hürde, um Ihre interne zu überholen Netzwerkdatenströme?

Anders ausgedrückt, sollte ein Rechtsstreit aus einem Verstoß gegen die HIPAA entstehen, was Wahnsinn könnte einen Gerichtssaal einnehmen und unter Eid schwören, dass es eine vernünftige Entscheidung war, einem Hacker einen direkten Flug zu Ihren sensiblen Informationen zu geben? Würden Hersteller von Heim-WLAN-Routern NAT) als übliche Standardeinstellung einstellen, weil ihnen ihre gesetzlichen Bestimmungen sagen: "Sicher - Würfeln ... Wir sollten unser gesetzliches Budget für das Jahrzehnt, in dem wir einen Fall verteidigen, niederbrennen." persönliche Wohnsysteme in unzähligen Haushalten in einen Zustand versetzen, in dem (im Grunde) ihre kollektiven Hosen um die Knöchel liegen! "

Ich vermute, es gibt zu viele, die sich einfach dafür entschuldigen, die Implementierung zu entschuldigen, weil sie sich nicht die Zeit nehmen können oder wollen, um die richtige statische oder dynamische NAT oder PAT als Best Practice zu konfigurieren. BITTE vermeiden Sie unnötigen Spott und = Gefängnis Zeit durch Ignorieren von Bundesstandards. Wenn Sie eine Bundeskrankenversicherung akzeptieren, sind die NIST-Mindestversicherungen erforderlich. Diskutieren Sie elegante Ausnahmen für einen bestimmten technischen Ausreißer, was Sie wollen, aber lassen Sie niemanden den Eindruck erwecken, dass es eine gute Idee ist, eine Umgebung anfälliger zu machen. Abgesehen von den Hypothesen, die richtigen Dinge zu tun tut mehr Zeit und Mühe in Anspruch zu nehmen ... aber es gibt Fälle, in denen das Richtige die beste Wahl ist.

1

NAT ist eine Firewall. Und es ist keine Meinung. Es ist eine Tatsache. Untersuchung der Definition der Firewall:

Eine Firewall ist "ein System oder eine Kombination von Systemen, die eine Grenze zwischen zwei oder mehr Netzwerken erzwingen".

Standardvorlage für die funktionale Zusammenfassung der Firewall der National Computer Security Association

A NAT erzeugt genau diese Art von Grenze.

Andere Firewalls bieten möglicherweise die Möglichkeit, ausgehende Verbindungen zu blockieren, nicht nur eingehende Verbindungen. Nettes Feature, aber nicht das wichtigste.

Apropos Funktionen: a DMZ ist eine Lücke zwischen Netzwerken. Normalerweise bietet es eine Möglichkeit, einen internen Dienst dem Internet zugänglich zu machen. Obwohl dies technisch nicht Teil des NAT) ist = Definition, es ist ein Merkmal aller modernen NATs

NAT ist eine Firewall und in einigen Situationen die beste. Stateful Inspection-Firewalls, die kein NAT ausführen, werden meistens "fehlgeschlagen". Ich habe als Entwickler für ein Unternehmen der "Next Generation Firewall" gearbeitet. Um die Protokoll-/Anwendungserkennung inline durchzuführen, mussten einige Pakete durchlaufen werden, bis sie erkannt wurden. Es gab keine Möglichkeit, es ohne Verzögerung zu puffern. Fast alle DPI-Lösungen funktionieren so.

NAT hingegen schlägt geschlossen fehl. Häufige Fehler beim Herunterfahren des Internetzugangs, anstatt den Internetzugang zu öffnen.

1
VP.

In Bezug auf Ihre Frage "soll ich stinken?" Ich würde vorschlagen, dass eine Risikobewertung (Problem, Wahrscheinlichkeit, Auswirkung, Minderung) dokumentiert und den Interessengruppen vorgelegt wird. Wenn Sie eine einsame Entscheidung treffen, ohne sie mitzuteilen, und ein schwerwiegender Verstoß vorliegt, kann dies ein schlechtes Zeichen für Sie sein.

0
gatorback