it-swarm-id.com

Seberapa pentingkah NAT sebagai lapisan keamanan?

Saya sudah masuk untuk membantu departemen memindahkan bangunan dan meningkatkan infrastruktur tanggal mereka. Departemen ini memiliki sekitar 40 karyawan, 25 desktop, server Novell lama, dan beberapa mesin pengolah laboratorium dengan sistem terpasang. Di lokasi yang lama, departemen ini memiliki dua jaringan - LAN tanpa akses luar apa pun pada sakelar yang sepenuhnya terpisah, dan beberapa mesin dengan akses luar.

Kami mencoba memodernisasi pengaturan ini sedikit karena setiap pengguna perlu mengakses email dan sistem pelacakan waktu.

Organisasi induk (~ 10k karyawan) memiliki departemen TI besar yang bertanggung jawab atas koneksi dan sistem telepon di lokasi luar kantor yang baru. Departemen TI telah uverse masuk dan mengatur VPN ke jaringan pusat mereka. Setiap desktop harus terdaftar di sistem/situs web departemen TI untuk mendapatkan Alamat IP (statis). Setiap Alamat IP yang diberikan di luar dapat diakses pada port apa saja yang memiliki layanan mendengarkan pada mesin klien.

Server memiliki data rahasia (HIPPA) di dalamnya, desktop telah memetakan drive jaringan untuk mengakses (sebagian) dari data ini. Ada juga LIS klien/server di tempat.

Pertanyaan saya adalah ini: Apakah perlu membuat bau bahwa semua mesin ini di luar dapat diakses?

Haruskah kita:

  • Minta NAT untuk mengabstraksi bagian luar dari dalam, serta firewall yang memblokir semua lalu lintas yang tidak secara eksplisit didefinisikan sebagai diizinkan? Jika demikian, argumen apa yang dapat saya buat untuk NAT/firewall yang melebihi manfaatnya dari mereka memiliki setiap mesin terdaftar di sistem mereka? Saya akan menyampaikan semua permintaan terkait TI dari pengguna akhir ke departemen TI dalam kedua kasus - sehingga tampaknya tidak perlu untuk mengikat mereka ke alamat tertentu di sistem mereka. Yang terpenting, kedengarannya seperti mimpi buruk untuk mengelola firewall terpisah di setiap desktop (berbagai platform/generasi) dan di server.
  • Minta dept IT. blok semua lalu lintas masuk ke masing-masing menggunakan IP yang dapat diakses pada firewall apa pun yang mereka miliki
  • Jaga agar departemen LAN tetap terisolasi sepenuhnya dari internet. Pengguna harus berbagi mesin khusus untuk mengakses email, internet, dan sistem pelacakan waktu.

Terima kasih sebelumnya atas segala komentar atau saran tentang ini.

24
iainlbc

NAT dan firewalling sepenuhnya konsep ortogonal yang tidak ada hubungannya satu sama lain. Karena beberapa NAT implementasi secara tidak sengaja menyediakan beberapa firewall, ada mitos yang terus-menerus bahwa NAT menyediakan keamanan. Ini memberikan tidak keamanan apa pun. Tidak ada Nol.

Misalnya, implementasi NAT yang masuk akal mungkin, jika hanya memiliki satu klien, teruskan semua paket masuk TCP dan UDP ke satu klien tersebut. Efek bersihnya akan sama persis seperti jika klien memiliki alamat luar perangkat NAT.

Jangan berpikir itu karena sebagian besar perangkat NAT memiliki firewall yang dirancang oleh desain atau melakukan beberapa secara tidak sengaja bahwa ini berarti NAT itu sendiri menyediakan keamanan apa pun. Ini adalah firewall yang menyediakan keamanan, bukan NAT. Tujuan dari NAT adalah untuk membuat semuanya berfungsi.

Anda tidak boleh berasumsi mesin tidak dapat diakses di luar hanya karena berada di belakang perangkat NAT. Ini tidak dapat diakses dari luar jika beberapa perangkat dikonfigurasikan secara khusus untuk tidak mengizinkannya diakses dari luar, apakah perangkat itu melakukan NAT atau tidak.

Setiap mesin yang memiliki alamat luar tetapi dengan firewall stateful yang dikonfigurasi, dikelola, dan dipantau dengan benar adalah jauh lebih unggul daripada kotak SoHo NAT yang murah.

Banyak SoHo NAT yang sebenarnya mengirimkan lalu lintas ke host di dalam walaupun Host tidak pernah mengirim traffic ke sumber traffic yang diteruskan. Permisif NAT benar-benar ada.

54
David Schwartz

Baru saja menghabiskan 7 tahun di Universitas dengan netblock/16 dan meletakkan semuanya di netblock yang tidak secara spesifik dilarang ada di sana (PCI-DSS dulu membutuhkan ini, sampai mereka memperbaikinya), saya punya pengalaman dengan jaringan dari sifat ini.

NAT tidak diperlukan. Semua NAT yang dilakukan adalah membuat sedikit lebih sulit untuk meninjau kembali jaringan, dan memaksa suatu entitas ke dalam postur yang lebih aman dengan standar. Yang mengatakan, sangat mungkin untuk membangun jaringan yang aman pada alamat IP publik. Ada beberapa subnet yang kami miliki yang secara teknis dapat dilalui, tetapi tidak ada yang di luar firewall perimeter yang bisa sampai di sana.

Sekarang untuk poin Anda yang lain:

Minta dept IT. blok semua lalu lintas masuk ke masing-masing menggunakan IP yang dapat diakses pada firewall apa pun yang mereka miliki

Ini harus dilakukan secara default. Di Universitas lama saya, stasiun Lab Komputer Mahasiswa tidak perlu dialamatkan dari Internet dan tidak. Hal yang sama berlaku untuk subnet yang menyimpan data Pusat Kesehatan Mahasiswa. Jika suatu mesin perlu terlihat secara eksternal karena suatu alasan, ada dokumen elektronik yang harus diedarkan dan ditandatangani sebelum dapat diberikan; bahkan untuk server di tumpukan IT terpusat.

Jaga agar departemen LAN tetap terisolasi sepenuhnya dari internet. Pengguna harus berbagi mesin khusus untuk mengakses email, internet, dan sistem pelacakan waktu.

Anda tidak harus sejauh ini. Alasan untuk sejauh ini adalah jika ketakutan Anda terhadap paparan informasi terkait malware lebih tinggi daripada kebutuhan konektivitas ke sumber daya berbasis jaringan. Hal-hal semakin berbasis cloud/jaringan akhir-akhir ini, sehingga jaringan yang memiliki saluran udara semakin sulit untuk dipertahankan. Jika Anda benar-benar perlu melangkah sejauh ini, Anda mungkin ingin melihat beberapa opsi Aplikasi Virtualisasi di luar sana, karena hal itu dapat membatasi paparan pelanggaran jika terjadi.

14
sysadmin1138

Seperti yang telah ditunjukkan orang lain, NAT bukan fitur keamanan Namun, ia menawarkan beberapa tingkat keamanan sebagai produk sampingan: efek samping dari NAT adalah tidak ada mesin dalam yang dapat diakses "dari luar". Efek yang sama dapat dicapai oleh firewall yang memblokir semua koneksi yang masuk. Ini tidak berbutir halus, tetapi lebih efektif dalam praktiknya, dan jika NAT tidak datang dengan perlindungan "otomatis" itu, lebih banyak jaringan yang ada akan diserang dan dikelompokkan ke dalam relay spam (itu adalah titik menakutkan tentang IPv6, omong-omong: IPv6, ketika [jika] digunakan secara luas, akan memiliki kecenderungan untuk membatalkan efek perlindungan NAT, dan orang dapat mengharapkan peningkatan rata-rata keberhasilan serangan).

Sekarang memiliki firewall yang terkonfigurasi dengan baik mengasumsikan bahwa siapa pun yang mengkonfigurasi firewall melakukan tugasnya dengan benar, dan, sayangnya, itu tidak diberikan (saya tidak ingin menganggap kemampuan departemen TI spesifik Anda, tetapi kualitas rata-rata pekerjaan Departemen TI di seluruh Dunia, terutama dalam organisasi besar, kurang dari mendebarkan). Alternatifnya adalah memastikan bahwa setiap mesin yang dapat diakses publik harus menahan semua jenis serangan yang terkait dengan koneksi yang masuk: tutup semua layanan yang tidak dibutuhkan, pastikan bahwa layanan yang tetap terbuka benar-benar mutakhir dan terkonfigurasi dengan baik. Ingin menerapkan pembaruan keamanan di setiap workstation tunggal? Dan pada firmware printer yang dapat jaringan?

Saran saya adalah memasang kotak filter Anda sendiri, yang melaluinya semua komunikasi antara jaringan Anda dan dunia luar. Kotak itu kemudian harus menyaring koneksi masuk; NAT dan/atau firewall, itu panggilan Anda. NAT mungkin lebih mudah, terutama jika departemen TI "tidak kooperatif".

12
Tom Leek
8
symcbean

NAT tidak penting sebagai lapisan keamanan dan tidak boleh dianggap sebagai memberikan keamanan apa pun (bahkan ketika secara tidak sengaja membuatnya lebih aman).

Saya tidak tahu kepatuhan HIPPA, tetapi kepatuhan PCI memerlukan pengaturan yang sangat spesifik untuk komputer yang memiliki akses ke informasi kartu kredit. Anda harus merancang sekitar memenuhi persyaratan HIPPA pertama dan kemudian merancang langkah-langkah keamanan tambahan. Lelucon kepatuhan PCI adalah kepatuhan mengurangi risiko denda, tetapi tidak serta merta mengurangi risiko eksploitasi keamanan.

Aturan HIPPA dapat memberi tahu Anda tentang bagaimana Anda harus memperlakukan komputer yang memiliki akses ke data HIPPA.

7
Bradley Kreider

Meskipun saya tahu sedikit tentang NAT dan penerusan pelabuhan, saya tidak setuju dengan sebagian besar yang ditulis David Schwartz. Mungkin karena dia agak tidak sopan Baca paragraf kedua dari jawaban saya.

NAT bukanlah jawaban untuk segalanya. Itu hanya membuat sulit bagi pihak eksternal untuk terhubung ke layanan Anda. Kebanyakan NAT melakukan basis port-by-port konversi dan jika Host dalam paket yang masuk tidak dikenali tidak akan ada aturan NAT untuk diikuti, oleh karena itu ditolak koneksi. Ini masih menyisakan beberapa lubang dengan klien server hanya terhubung untuk menghubungkan kembali.

Yang lebih penting adalah mengamankan diri Anda dari koneksi di dalam maupun di luar. NAT memberikan keamanan palsu dengan cara ini. Anda hanya perlu satu bug dari stik USB dan mungkin ada penerusan koneksi yang membiarkan semua orang masuk.

Terlepas dari ruang IP Anda, Anda harus membatasi koneksi ke yang diizinkan. Workstation biasanya tidak boleh terhubung ke layanan SQL. Saya pribadi tidak suka firewall stateful tetapi masing-masing untuk sendiri. Saya lebih tipe pria tipe router jatuhkan semua paket.

4
Antti Rytsölä

Setiap respons pada utas ini mengenai NAT mengabaikan aspek penting NAT. Implementasi NAT menciptakan internal, pribadi, kisaran alamat non-routable . Istilah "non-routable" adalah signifikan. Peretas senang untuk mengekstrak aliran data jaringan organisasi, dan beroperasi dengan lalu lintas jaringan internal lokal Anda pada sarana jangkauan alamat publik seluruh gagasan pertahanan mendalam secara signifikan berkurang. Mengapa siapa pun ingin membuat kondisi yang memungkinkan lalu lintas lokal Anda dapat dialihkan ke Internet global Untuk mempermudah, penyerang jahat dapat meretas perangkat dan menambahkan rute - tetapi mengapa beri Anda berikan orang seperti itu satu rintangan kurang untuk backhaul aliran data jaringan internal Anda?

Dengan kata lain, jika litigasi muncul dari pelanggaran HIPAA, apa gila dapat mengambil ruang sidang dan bersumpah di bawah sumpah yang memberikan hacker penerbangan langsung ke Anda informasi sensitif adalah keputusan yang masuk akal? Akankah produsen router nirkabel di rumah menghentikan NAT sebagai standar bawaan karena hukum mereka memberi tahu mereka, "Tentu - Gulung dadu ... Kita harus membakar anggaran hukum kita selama dekade membela kasus di mana kita menempatkan sistem tempat tinggal pribadi di rumah tangga yang tak terhitung jumlahnya dalam keadaan yang (pada dasarnya) meninggalkan celana kolektif mereka turun di pergelangan kaki mereka! "

Saya menduga ada terlalu banyak yang hanya ingin memaafkan implementasi karena mereka tidak dapat atau tidak akan meluangkan waktu untuk mengkonfigurasi statis atau dinamis yang tepat NAT atau PAT sebagai praktik terbaik. TOLONG hindari ejekan yang tidak perlu dan penjara waktu dengan mengabaikan standar federal. Jika Anda menerima asuransi kesehatan federal, minimum NIST diperlukan . Debatkan pengecualian elegan untuk outlier teknologi tertentu yang Anda inginkan, tetapi jangan memberi kesan pada siapa pun bahwa ini adalah ide yang baik untuk membuat lingkungan lebih rentan. Selain hipotetis, melakukan hal yang benar tidak membutuhkan lebih banyak waktu dan usaha ... tetapi ada kasus di mana hal yang benar adalah pilihan terbaik.

1

NAT adalah Firewall. Dan itu bukan pendapat. Itu fakta. Melihat ke definisi Firewall:

Firewall adalah "sistem atau kombinasi sistem yang memberlakukan batas antara dua atau lebih jaringan."

templat Ringkasan Fungsional Firewall Standar Asosiasi Keamanan Komputer Nasional

A NAT menciptakan batas semacam itu.

Apa yang mungkin disediakan firewall lain adalah kemampuan untuk memblokir koneksi keluar, bukan hanya koneksi masuk. Fitur yang bagus, tapi bukan yang utama.

Berbicara tentang fitur, a DMZ adalah lubang di antara jaringan. Biasanya ia menyediakan cara untuk mengekspos layanan internal ke Internet. Meskipun secara teknis bukan bagian dari NAT = definisi, ini adalah fitur dari semua NAT modern

NAT adalah firewall dan dalam beberapa situasi, yang terbaik. Firewall inspeksi stateful, yang tidak melakukan NAT, melakukan sebagian besar "gagal-terbuka". Saya bekerja di perusahaan "Firewall generasi berikutnya" sebagai pengembang. Untuk melakukan inline deteksi protokol/aplikasi, beberapa paket harus melewati hingga terdeteksi. Tidak ada cara untuk buffer itu, tanpa memperkenalkan penundaan. Hampir semua solusi DPI bekerja seperti itu.

NAT, di sisi lain, gagal ditutup. Kesalahan umum mematikan akses ke Internet daripada membuka akses dari Internet.

1
VP.

Berkenaan dengan pertanyaan Anda, "haruskah saya membuat bau?" Saya akan menyarankan bahwa penilaian risiko (masalah, probabilitas, dampak, mitigasi) didokumentasikan dan disajikan kepada para pemangku kepentingan. Jika Anda membuat keputusan sendiri tanpa mengomunikasikannya dan ada pelanggaran signifikan, itu bisa menjadi pertanda buruk bagi Anda.

0
gatorback