Quanto è importante NAT come livello di sicurezza?

NAT e firewalling sono concetti completamente ortogonali che non hanno nulla a che fare l'uno con l'altro. Poiché alcune implementazioni NAT accidentalmente forniscono firewall alcuni , c'è un mito persistente che NAT fornisce sicurezza. Fornisce no sicurezza di sorta. Nessuna. Zero.

Ad esempio, un'implementazione NAT perfettamente ragionevole potrebbe, se avesse un solo client, inoltrare tutti i pacchetti TCP e UDP in entrata a quel singolo client. L'effetto netto sarebbe esattamente lo stesso come se il client avesse l'indirizzo esterno del dispositivo NAT.

Non pensare che la maggior parte dei dispositivi NAT abbia un firewall integrato nel design o ne faccia uno per caso che questo significa che NAT stesso fornisce sicurezza. È il firewall che fornisce la sicurezza, non il NAT. Lo scopo del NAT è far funzionare le cose.

Non devi supporre che una macchina non sia accessibile all'esterno solo perché si trova dietro un dispositivo NAT. Non è accessibile all'esterno se alcuni dispositivi sono configurati in modo specifico per non consentirne l'accesso dall'esterno, indipendentemente dal fatto che tale dispositivo funzioni NAT o meno.

Ogni macchina che ha un indirizzo esterno ma con un firewall stateful correttamente configurato, gestito e monitorato è ampiamente superiore a una scatola SoHo NAT economica.

Molti box SO SoHo effettivi inoltrano il traffico agli host interni, nonostante nessun host interno abbia mai inviato traffico alla sorgente del traffico inoltrato. Il NAT permissivo esiste davvero.

Avendo appena trascorso 7 anni in un'università con un / 16 netblock e messo tutto su quel netblock a cui non era specificamente proibito essere presente (lo richiedeva PCI-DSS, fino a quando non lo riparavano), ne ho alcuni esperienza con reti di questo tipo.

NAT non è richiesto. Tutto ciò che fa NAT rende più difficile la ricognizione di una rete e forza un'entità in una postura più sicura per impostazione predefinita. Detto questo, è perfettamente possibile costruire una rete sicura su indirizzi IP pubblici. C'erano un paio di sottoreti che erano tecnicamente utilizzabili, ma nulla al di fuori del firewall perimetrale poteva arrivarci.

Ora per gli altri tuoi punti:

Request the IT dept. block all incoming traffic to each wan accessible IP on whatever existing firewalls they have in place

Questo dovrebbe essere fatto di default. Nella mia vecchia università, le stazioni di Student Computer Lab non avevano bisogno di essere indirizzabili da Internet e non lo erano. Lo stesso dicasi per le sottoreti che contenevano i dati del centro di salute dello studente. Se per qualche ragione una macchina doveva essere visibile esternamente, c'era un documento elettronico che doveva essere passato in giro e firmato prima che potesse essere concesso; anche per i server nello stack IT centralizzato.

Keep the departments LAN completely isolated from the internet. Users must share dedicated machines for accessing email, internet, and time tracking system.

Non devi andare così lontano. La ragione per andare fino a questo punto è se la tua paura di informazioni correlate al malware - l'esposizione è superiore alla necessità di connettività alle risorse di rete. Al giorno d'oggi le cose sono sempre più basate su cloud / rete, quindi è sempre più difficile mantenere tali reti "air-gapped". Se davvero hai bisogno di andare fino a questo punto, potresti voler esaminare alcune delle opzioni di Application Virtualization disponibili, in quanto ciò può limitare l'esposizione di violazioni nel caso si verifichino.

Come altri hanno sottolineato, NAT non è una funzione di sicurezza . Tuttavia, offre un certo livello di sicurezza come sottoprodotto: un effetto collaterale di NAT è che nessuna macchina interna è accessibile "dall'esterno". Lo stesso effetto può essere ottenuto con un firewall che blocca tutte le connessioni in entrata. Questo non è a grana fine, ma piuttosto efficace nella pratica, e se NAT non fosse dotato di tale protezione "automatica", molte più reti esistenti sarebbero attaccate e zomitate in relè spam (questo è il punto critico su IPv6, tra l'altro : IPv6, quando [se] ampiamente implementato, avrà la tendenza ad annullare l'effetto di protezione di NAT, e ci si può aspettare un aumento medio del successo dell'attacco).

Ora un firewall ben configurato presuppone che chiunque configuri il firewall esegua correttamente il suo lavoro e, sfortunatamente, non è un dato (non voglio presumere le capacità del tuo specifico reparto IT, ma la qualità media di il lavoro dei dipartimenti IT in tutto il mondo, soprattutto nelle grandi organizzazioni, è tutt'altro che entusiasmante). L'alternativa consiste nel garantire che ogni singola macchina accessibile pubblicamente debba resistere a tutti i tipi di attacchi relativi alle connessioni in entrata: chiudere tutti i servizi non necessari, assicurarsi che i servizi che rimangono aperti siano correttamente aggiornati e ben configurati. Vuoi applicare gli aggiornamenti di sicurezza su ogni singola workstation? E sul firmware delle stampanti in rete?

Il mio consiglio è di installare la propria casella filtro, attraverso la quale passeranno tutte le comunicazioni tra la rete e il mondo esterno. Quella scatola dovrebbe quindi filtrare le connessioni in entrata; NAT e / o firewall, questa è la tua chiamata. NAT può essere più facile, soprattutto se il reparto IT è "non cooperativo".

Per quanto riguarda il masquerading (al contrario del NAT statico):

Cisco

• '... non è possibile "invertire la mappa "connessioni in entrata per altre porte a meno che non sia stata configurata un'altra tabella"

• '.... NAT possono essere inseriti un ruolo come componente dell'architettura di sicurezza di un sito, fornendo protezione dagli attacchi lanciati dall'esterno verso la rete interna. '

Sans

• '... un eccellente primo livello di difesa ... può ancora essere violato. Ma ora l'hacker deve compromettere uno dei sistemi interni da utilizzare come testa di ponte nella rete locale "
  (Daniel Crider, Istituto SANS, Sala di lettura InfoSec, 2001-11-22, Una difesa a 6 strati per la rete domestica di un professionista I. , pagina 5)

IBM

• "protegge i tuoi personal computer dalle comunicazioni avviate al di fuori della rete perché per l'intervallo NAT da avviare, il traffico deve essere avviato internamente '

No, non è un subsituto per un firewall, né per altre parti della tua soluzione di sicurezza. Migliora l'integrità dei tuoi sistemi.

NAT non è importante come livello di sicurezza e non si dovrebbe pensare che fornisca sicurezza (anche quando lo rende inavvertitamente più sicuro).

Non conosco la conformità HIPPA, ma la conformità PCI richiede configurazioni molto specifiche per i computer che hanno accesso alle informazioni della carta di credito. Dovresti progettare prima di soddisfare i requisiti HIPPA e quindi progettare ulteriori misure di sicurezza. Lo scherzo della conformità PCI è che la conformità riduce il rischio di sanzioni, ma non necessariamente riduce il rischio di exploit di sicurezza.

Le regole HIPPA potrebbero informarti su come devi trattare i computer che hanno accesso ai dati HIPPA.

Anche se conosco un po 'di NAT e port forwarding, non sono d'accordo sulla maggior parte di ciò che David Schwartz ha scritto. Potrebbe essere perché era un po 'maleducato Leggi il secondo paragrafo della mia risposta .

NAT non è la risposta a tutto. Rende solo difficile per le parti esterne connettersi ai tuoi servizi. La maggior parte delle implementazioni NAT effettua la conversione porta per porta e se l'host nel pacchetto in entrata non viene riconosciuto non ci saranno regole NAT da seguire, quindi la connessione negata. Questo lascia ancora dei buchi con il client server appena connesso alla connessione.

Più importante è assicurarti dalle connessioni interne e esterne. NAT fornisce una falsa sicurezza in questo modo. Hai solo bisogno di un bug da una chiavetta USB e potrebbe esserci un inoltro della connessione che consente a tutti di entrare.

Indipendentemente dal tuo spazio IP, devi limitare le connessioni a quelle consentite. Le workstation di solito non dovrebbero essere in grado di connettersi al servizio SQL. Personalmente non mi piacciono i firewall statici ma ognuno per conto suo. Sono più il tipo di router che tipo rilascia tutti i pacchetti

NAT è un firewall. E non è un'opinione. È un fatto. Esaminare la definizione di Firewall:

A firewall is "a system or combination of systems that enforces a boundary between two or more networks."

Modello di riepilogo funzionale del firewall standard della National Computer Security Association

Un NAT crea esattamente quel tipo di limite.

Quali altri firewall possono fornire è la possibilità di bloccare le connessioni in uscita, non solo le connessioni in entrata. Bella funzionalità, ma non quella principale.

Parlando di funzionalità, una DMZ è un buco tra le reti. Normalmente fornisce un modo per esporre un servizio interno a Internet. Pur non essendo tecnicamente parte della definizione NAT, è una caratteristica di tutti i moderni NAT

NAT è il firewall e in alcune situazioni, il migliore. I firewall di ispezione stateful, che non eseguono NAT, sono in genere "fail-open". Ho lavorato come sviluppatore in una compagnia "firewall di prossima generazione". Per eseguire il rilevamento di protocolli / applicazioni in linea, alcuni pacchetti dovevano passare finché non venivano rilevati. Non c'era modo di bufferizzarlo, senza introdurre ritardi. Quasi tutte le soluzioni DPI funzionano in questo modo.

NAT, d'altra parte, non riesce chiuso. Errori comuni bloccano l'accesso a Internet invece di aprire l'accesso da Internet.

Per quanto riguarda la tua domanda "dovrei fare una puzza?" Suggerirei di documentare e presentare agli stakeholder una valutazione del rischio (problema, probabilità, impatto, mitigazione). Se prendi una decisione solitaria senza comunicarla e c'è una violazione significativa, potrebbe essere di cattivo auspicio per te.