Vlákno názorů k článku 10 důvodů, proč mít NAT na IPv6 od Radek Zajíc - NAT překládá adresy. Firewall řeší zabezpečení. Jsou to...
-
Filip Jirsák (neregistrovaný)
Není. Nenechte se mást tím, že třeba v Linuxu jsou firewall i NAT implementovány v jednom celku (NetFilter) a konfigurovány jednou utilitou (iptables).
NAT je překlad adres, můžete mít klidně nastaven NAT, který bude IP adresy a porty překládat 1:1, takže každé zařízení ve vnitřní síti a každý jeho port bude normálně dostupný z internetu. Ostatně některé příklady zmíněné v článku (třeba 1-4) by používaly právě takový NAT. Je snad jasné, že takovýhle NAT žádné zabezpečení odpovídající firewallu nepředstavuje.
-
Hobit (neregistrovaný)
Ano NAT zvysuje bezpecnost asi tak jako kdyz zavrete vchodove dvere od bytu a nechate je odemcene a jeste nechate zvenku klic v zamku ! :-)
NAT neni firewall a nikdy nebude je to jen falesny pocit bezpeci, BFU rozdil znat nemusi, ale admin ten by toto mel chapat, a jestli nevi tento zakladni fakt, nemel by nikdy na administraci jakehokoli stroje sahat.
-
Takze jste vlastne dokonale vysvetlil, proc vsechny IPv6 krabicky pro domaci uzivatele budou mit v implicitnim nastaveni neco jako:
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -A FORWARD -j ACCEPT -i vnitrni_interface
ip6tables -A FORWARD -j ACCEPT -m state --state RELATED,ESTABLISHEDsamozrejme drobne rozvedene o podporu ipv6-icmp, aby to vubec mohlo chodit.
Timto vyresite uplne vsechny zminene namitky bez potreby NAT.
-
Pokud se budeme bavit o RouterOS, tak desítky, pokud o Linuxu, tak to bude podobné. (Správa serverů postavených na Linuxu mě živí, RouterOS spravuji na jedné rozsáhlejší bezdrátové síti ve svém volném čase.)
Původní myšlenku můžu samozřejmě rozvinout.
Úkolem Firewallu je určit pravidla, podle kterých pak router přepošle/zahodí/zamítne/upraví pakety a spojení. A to nezávisle na tom, jestli se bavíme o IPv4 nebo o IPv6. Dokonce i variantu "zevnitř ven povolím vše, dovnitř kromě navázaných spojení nic" lze realizovat obyčejným firewallem a nepotřebujete k tomu NAT.NAT oproti tomu vznikl jako obezlička ve chvíli, kdy světu ani po zavedení Classless Interdomain Routingu adresy dál ubývaly vysokým tempem. Jeho účelem byla nejprve jen záměna IP adres a portů. A tato záměna funguje dodnes obousměrně, tedy pokud mám přístup na WAN rozhraní routeru, kde existuje NAT, ale neexisstuje firewall, mohu přes tento router proniknout do vnitřní sítě.
-
Hobit (neregistrovaný)
Musim ve vetsine souhlasit s flasi, NAT sice neni temer zadna ochrana, ale presne jak to vysvetluje flasi je to dobre napsane.
NAT ma jeko vedlejsi funkci zvyseni bezpecnosti.
To nic nemeni na tom, ze kdyz nekdo chce zabezpecit pocitac, nebo sit, tak pouzije firewall, tim padem nat nepotrebuje.
Nicmene komu staci k nejakemu ucelu NAT, tak spolecne s tim si zvysi zabezpeceni sve site. Ale jak rikam na zacatku jeto vedlejsi produkt a velmi chatrne. A mozna to sedi presne s analogii tou kouli na dverich.
Kouli na dvere si muzu dat z toho duvodu, aby ty dvere byli jednosmerny. Veldejsi funkce je zvyseni bezpecnosti, protoze se tam nahodny kolemjdouci nedostane, ale kdo chce si samozrejme veme kartu a odevre si. Ano myslim, ze toto je lepsi prirovnani nez to moje na zacatku.
-
Cohen (neregistrovaný)
Komentář je už sice trošku starší, ale stejně si neodpustím reakci ;-).
Argument je to sice celkem rozumný, jen bych teď rád věděl, jak dostanu packet s cílovou privátní IP adresou skrz síť poskytovatele. A vynechme nesmysly typu source routing, který je na většině ISP routerů blokován.
-
Pane x, sorry za flame, ale vy jste ignorant pseudoprofesionál!
Klasický asynchronní NAT (iptables -t nat -A POSTROUTING -s $local_net -o $out_iface -j SNAT --to $public_ip) ve spojení s tím, že přes síť ISP ve značném procentu případů nelze z vnějšího internetu nelze přistoupi na $local_net sice nezaručuje, ale _STATISTICKY DRAMATICKY ZVYŠUJE BEZPEČNOST_.
Kdo to není ochoten uznat, je ignorant!
Místo flamewaru, navrhuji soutež, pokud budou zájemci:
1) na veřejnou IP adresu osadím Mikrotik router, který zahesluji a opevním proti hacku.
2) na jedom eth interface bude veřejná IP, na druhém 192.168.1.1/24+dhcp (to bude náš nezabezpečený router pouze s NATem)
3) na privátní interface osadím druhý mikrotik, zcela bez hesel a achran, s loginem admin, bez hesla (továtní nastavení), zapnutý dhcp klient
4) na tomto zapnu FTP, telnet, http, winbox a do ftp nahraju soubor s heslem
5) nejrychlejšímu, kdo mi heslo zašle, vyplatím na účet částku Kč 5.000,-Chcete míň remcat a přihlásit se? -> tomas@simek.info
Ohledně účasti v soutěži jsem ochoten sepsat právně závaznou dohodu.
Tomáš Šimek, NECOSS s.r.o., www.vyl.cz. -
Flasi (neregistrovaný)
Pokud chcete přirovnávat NAT ke dveřím, tak NAT jsou zavřené, nezamknuté dveře bez kliky (s "koulí").
Čili dostane se tam (bez dodatečných bezpečnostních opatření) úplně každý, kdo se tam bude chtít dostat a současně je schopen vynaložit nějaké drobné úsilí a má nějaké drobné znalosti. Ale nedostane se přes ně malý kluk, nedostane se tam náhodný kolemjdoucí.
Veřejná IP adresa jsou odemknuté dveře s klikou - dostanou se tam (bez dodatečných bezpečnostních opatření) úplně všichni - i ten malý kluk i ten náhodný kolemjdoucí.NAT celkově bezpečnost zvyšuje. Dokáže filtrovat roboty, kteří pročesávají adresu za adresou a subnet za subnetem a zkouší, jestli na portu X neběží proces Y ve verzi Z, ke kterému má ten robot připravený exploit. Pokud nemáte firewall, tak jste za NATem ohroženi méně, než bez NATu.
V případě domácích uživatelů, kteří se nechovají aktivně nebezpečně (tedy ti, kteří nenavštěvují rizikové stránky a nestahují a nepoužívající cracky apod.) je rozdíl být/nebýt za NATem silně korelující s rozdílem být/nebýt zavirován. V době, kdy aktualizace windowsů nebyly standardně nastaveny na automatické to bylo zcela markantní, dneska už to tak zjevné nebude, ale nějaká korelace tam bude pořád. Nemluvě o tom, že počítač za NATem je pro škodlivý software méně cenný než počítač přímo v internetu.
Já bych si svůj domácí počítač "chránit" pouze NATem rozhodně nedovolil. A nedoporučuji to ani svým známým. Ale riziko s NATem je prostě menší, než bez něj. A jelikož běžný domácí uživatel je obvykle vystaven pouze útokům anonymním, automatizovaným a hromadným, tak NAT supluje firewall velmi dobře. Čemu by zabránil firewall zabrání NAT většinou (a pro jistotu: většinou != vždy) taky a čemu by firewall (paketový filtr, stavový firewall, proxy) nezabránil, tomu NAT nezabrání taktéž.
Situace je pochopitelně zcela jiná v případě firemní sítě, která se s mnohem větší pravděpodobností může stát obětí cíleného útoku, proti kterému je NAT opravdou pouze formální překážkou.Pokud si někdo myslí, že NAT nejde zvenku překonat, tak je hlupák a opravdu zažívá falešný pocit bezpečný. Ale stejně směšné mě připadá, když někdo popírá, že NAT chránil a chrání miliony domácích uživatelů před roboty automaticky hledající otevřené porty s běžící děravou službou.
-
Filip Jirsák (neregistrovaný)
Píšete obecně o NATu, a přitom nejspíš myslíte nějaký konkrétní typ NATu, při kterém z venku není možné normálně navázat spojení. Je otázka, jaké množství uživatelů je právě za takovýmhle NATem. Bez toho, aniž bych viděl konkrétní nastavení NATu, bych se neodvážil tvrdit nic o tom, jak brání či nebrání třeba automatizovaným útokům. Takže je rozumné předpokládat, že nechrání nijak – a pokud někdo má náhodou NAT nastaven tak, že přes něj roboti neprojdou, má prostě štěstí. Rozhodně bych nemátl neznalé uživatele tvrzením, že NAT velmi dobře supluje firewall – není k ničemu dobré něco takového předpokládat.
Zrovna pro roboty není nic jednoduššího, než pokoušet se automaticky projít i tím NATem – robota nic nestojí vyzkoušet pár možností.
-
Flasi (neregistrovaný)
1. Obávám se, že odmítáte přistoupit na to, že existuje i jiný pohled na věc. Vy to prostě berete individuálně - já jsem za nějakým NATem, tudíž musím předpokládat, že je nastaven tak, že je snadno prostupný a tudíž ho nesmím považovat za nějakou ochranu a tudíž si musím zabezpečit ochranu jinak. To je naprosto v pořádku a s tím souhlasím.
Jenže já jsem psal z globálního pohledu. Prostě ty NATy, které se používaly a používají dokázaly spoustu primitivních automatizovaných útoků odrazit. Tudíž procento zavirovaných za NATem bylo nižší, než procento zavirovaných bez NATu. Prostě vedlejším produktem NATu je statisticky se projevující ochrana. Statisticky, tudíž by bylo velmi nemoudré se na ni spoléhat. A to vaše "štěstí na ten spravný NAT" prostě tvoří část té statistiky. A "štěstí na hloupý útočící robot" je také její součástí.
Píšete, že pro roboty není nic jednoduššího, než se pokoušet automaticky projít NATem. To je otázka. Já vím, že před pár lety to drtivá většina robotů nezkoušela (a současnou situaci nesleduji). Zřejmě měli jejich tvůrci zato, že je snazší využít omezenou kapacitu linky k hledání na dalších veřejných IP adresách, než zkoušet hledat za každou IP adresou privátní rozsahy.Napsal jsem "Já bych si svůj domácí počítač "chránit" pouze NATem rozhodně nedovolil. A nedoporučuji to ani svým známým." Pokud by z toho někdo nabyl dojmu, že je dobrý nápad spoléhat se na NAT, pak musím jenom opakovat, že je to velmi špatný nápad. Myslím, že moje přirovnání k nezamknutým dveřím s koulí hovoří za vše - tento způsob zabezpečení si normální člověk dovolí, pouze pokud je fyzicky přítomen v bytě - tedy je schopen kontroloval, kdo těmi dveřmi opravdu prochází - počítačovou řečí, ten kdo má navíc firewall.
-
Flasi (neregistrovaný)
Nejsou to moje přání - já si vůbec nic ohledně NATu nepřeji.
Jsou to moje dojmy. Jsou to moje dojmy podložené zkušenostmi s různými domácími uživateli. Jsou to moje dojmy podložené komunikací s lidmi, kteří se bezpečností domácích uživatelů zabývali profesně. Jsou to moje dojmy podložené zkušeností s jednou komunitní sítí čítající několik málo stovek členů (čili dost obyčejných uživatelů) poté, co se stalo s počtem zavirovaných windows v síti poté, co zavedli NAT a poté, co ho zase zrušili (když získali dost veřejných IP adres).
Nejsou to tvrdá data, ale je to dost, abych to mohl v tomto typu diskuze prezentovat.
Už si přesně nevybavuji, jestli to byl Sasser, Blaster, nebo jak se jmenoval vir, cto automaticky napadal děravou službu RPC na portu 135 ve Windows NT větve. Ale vím, že tam to bylo zcela markantní - kdo neměl zaplátované windows a měl veřejnou IP adresu (a neměl firewall), tak byl nakažen. Kdo byl za NATem, tak většinou nakažen nebyl. Anebo nebyl nakažen až do doby, kdy někdo za NAT donesl počítač nakažený odjinud.
Ale NAT (nebo jestli chcete, tak přesněji implementace NATu u drtivé většiny ISP, nebo domácích routerů) prostě statisticky znamenal rozdíl.NAT v praxi prostě fungoval jako koule na nezamknutých dveřích - jakkoliv mohl fungovat i jinak (i jako klika, možná i jako dveře dokořán), ale část útočníků zastavoval a IMHO i zastavuje dál (píšu IMHO, protože zcela aktuální situaci neznám, ale současně nepředpokládám, že by došlo k zásadní změně).
-
Filip Jirsák (neregistrovaný)
Snažíte se sice psát z globálního pohledu, ale není to nic jiného, než vaše dojmy. To „NATy dokázaly“ a „vedlejším produktem je statisticky se projevující ochrana“ nemáte ničím podložené, jsou to jen vaše přání. To vaše přirovnání ke dveřím s koulí není přesné – ve skutečnosti nevíte, jestli jsou ty dveře většinou s koulí, s klikou nebo otevřené dokořán.
-
"A to nezávisle na tom, jestli se bavíme o IPv4 nebo o IPv6. Dokonce i variantu "zevnitř ven povolím vše, dovnitř kromě navázaných spojení nic" lze realizovat obyčejným firewallem a nepotřebujete k tomu NAT."
A naopak, u většiny krabiček znamená maškaráda také pravidla "zevnitř ven povolím vše, dovnitř kromě navázaných spojení nic". Z tohoto si pohužel mnoho lidí nesprávně vydedukovalo, že překlad adres zvyšuje bezpečnost.
-
Flasi (neregistrovaný)
Obávám se, že jste můj příspěvek buď nepochopil, nebo úmyslně překroutil.
Pokud budou mít domácí IPv6 krabičky nastaveno takovéto filtrování, tak běžnému uživateli uberete trochu (málo) starostí s bezpečností a přidáte mu trochu (hodně) starostí s dostupností různých služeb.Já v této diskuzi neobhajuji potřebu NATu na IPv6 ani na IPv4. Já jenom tvrdím, že NAT má v praxi statisticky ochranou funkci (v daném čase, při daném nastavení a jako vedlejší efekt).
ČLÁNKY DO MAILU