To je falešný pocit bezpečí, zjistit a nebo odhadnout vnitřní IP adresy není zdaleka nemožné. NAT je peklo, zejména v době rozvoje služeb, které fungují P2P a to nemám na mysli "stahovače", ale např. věci jako VoIP. Ano, ono VoIP "funguje" i s NATem, ale často je k tomu potřeba server někde "venku" zatímco bez NATu mohou jít pakety pěkně nejkratší cestou, což třeba SIP umí zařídit (když má možnost).
Zkrátka NAT je z nouze ctnost řešení a není to řešení bezpečnostní - samotný firewall toto řeší lépe než samotný NAT (viz source routing útok).
Kromě toho při zakrytí rozsáhlejší sítě NATem vznikají další problémy: omezený počet portů. Je sice možné použít více vnějších IP adres, ale tím se vše zase jen zbytečně komplikuje.
Shrnuto: už aby by byl NAT minulostí.
Nebo jinak: už aby nutnost použití NATu byla minulostí, mám tím na mysli to, že poskytovatelé připojení dávají neveřejnou adresu, to je skoro zločin ;-)
A až bude mít každé PC, televize, pracovní stanice, notebook, telefon a kdoví co ještě veřejnou IP, má malware a státní šmírování konečnou technologickou zelenou. A šifrování? Tadyhle ten moc šifruje, vlítnem na něj. Prozradíš co to bylo? Poskytneš klíč? Ne? Jsi terorista (pedofil, nacista, doplňte si...) a půjdeš do želez.
NAT může být klidně 1:1, takže topologii sítě zjistíte a dostanete se na každý počítač. Je asi jasné, že reálný NAT se pak nachází někde na škále od tohoto zcela otevřeného NATu 1:1 až po NAT, za kterým nelze další počítače žádným způsobem zjistit. Problém je v tom, že málokdo ví, jak je na tom jeho NAT doopravdy, myslí si, že je za NATem schovaný, a přitom to vůbec nemusí být pravda. Ostatně stačí si uvědomit, že Skype a další se dokáží úspěšně protunelovat kdejakým NATem.
Ó velký mágu, NATem 1:1 RFC myslí mapování jedné dané veřejné adresy portově 1:1 na jeden daný vnitřní počítač, tedy port 25 na veřejnou jde na 25 na onu vnitřní, to samé s 26 a 27 apod. Tedy blábol o přístupu natem 1:1 na každé vnitřní PC zůstává blábolem. Mimochodem ten plně hlídaný NAT (FCNAT ) realizuje již dnes už naprostá většina i malých routříků. Skype se protuneluje NATem proto,že ( díky běžně nastaveným výchozím pravidlům firewallu zevnitř ven ano, zvenku dovnitř ne , postaveným v pořadí ZA NAT ) je server Skype osloven ZEVNITŘ. Doporučuji prostudovat základy NATu.
Představte si NAT 1:1 pro každou IP adresu ve vnitřní síti, která se mapuje na právě jednu veřejnou IP adresu, a zároveň ona veřejná IP adresa se mapuje právě na jednu adresu ve vnitřní síti. Pak máte NAT a zároveň přístupné každé jednotlivé PC ve vnitřní síti.
To, že musí být komunikace zahájena zevnitř, není zrovna silná podmínka, protože z běžné sítě se zevnitř navazuje nějaká komunikace neustále a není velký problém někoho donutit, aby tu komunikaci zahájil.
Nevím z jaké terminologie vycházíte, ale NAT je NETWORK address translation. Vidíte tam někde zmínku o portu? To, co vy říkáte je ve standardní terminologii spíš PAT.
šifrovat standarTně nevím. Šifrovat standarDně je něco, co by IPv6 mělo podporovat jako svou nedílnou součást pomocí IPSec. Jsem přesvědčen že časem by se to mělo stát standardním řešením, spolu s tím, jak zavádíme DNSsec a podobné technologie. (tedy pokud si to někdo nebude komplikovat NATem)
Ale jo. Neznám českou terminologii - takže asi vycházím z vyčtené terminologie v manuálech. NATem myslím to, co se anglicky označuje za port NAT ( občas jsem viděl termín SUA, tedy single user account ) tedy že mnoho vnitřních adres je maskováno za jednu veřejnou a spojení se rozlišují tabulkou portů, kterou si vede daný NAT ( zdrojový port je nahrazován a podle něj se pak také hlídá, komu zpětně patří. Stupeň kontroly souvislosti vysílaných a následně přijímaných paketů určuje kvalitu NATu. Nahrazují se pochopitelně např. při mapování i cílové porty atd. )
Pro pana Jirsáka - jo, jasně. Ale pak potřebuji tolik veřejných adres, co PC, ten port NAT ztrácí význam, víceméně jsme ho degradovali na jeden záznam v tabulce.
Co se týče podmínek odeslání startu komunikace - no, vidím to pořád jako lepší, než nic. V každém případě to má loupežník složitější.
IPSec samozřejmě umožňuje využívat všech možností certifikačních autorit a podobných věcí, včetně výměny klíčů a různých šifrovacích algoritmů. IPSec je standardní řešení už dnes a nevím o tom, že by existovalo něco zásadně bezpečnějšího.
„A až bude mít každé PC, televize, pracovní stanice, notebook, telefon a kdoví co ještě veřejnou IP, má malware a státní šmírování konečnou technologickou zelenou.“
A o firewallu, případně privacy extension jsi někdy slyšel?
„A šifrování? Tadyhle ten moc šifruje, vlítnem na něj. Prozradíš co to bylo? Poskytneš klíč? Ne? Jsi terorista (pedofil, nacista, doplňte si...) a půjdeš do želez.“
Jak se tato možnost liší od přenášení šifrovaných dat přes IPv4?
Co je to AES2? Zkusil jsem hledat a jediné, co se týkalo tématu, byla takhle konference, kterou jste nejspíš na mysli neměl. Osobně znám jen AES-128, AES-192 a AES-256, všechny tři samozřejmě v rámci IPsec používat lze, stejně jako autentizaci pomocí X.509 certifikátů a o tom, které autoritě budete věřit (a jestli vůbec nějaké), si rozhodujete sám. Tak v čem je podle vás ten "X.509 a AES2 s důvěryhodnou nezávislou CA" bezpečnější?
předem se omlouvám za BFU názor, ale přijde mi, že počítače schované za NAT jsou přece jenom poněkud chráněnější před útokem zvenka .. minimálně už jenom proto, že není snadné zjistit zvenka topografii sítě a tedy "mířit"
Sorry za chybu, snad se toho tolik nestalo. IPsecu prostě nevěřím, četl jsem si o něm, a podle toho, co jsem pochopil, tak akorát sniffing stěžuje, ne zcela znemožňuje (pravda, utopie, nicméně šifrování např. pomocí X.509 a AES2 s důvěryhodnou nezávislou CA, tak jak je to na vyšší úrovni, mně pořád příjde bezpečnější, spoléhat se čistě na ipsec mi přijde naivní, ale jsem jenom lajk, nevěřím ničemu, o čem kdosi prohlásí "standardně je to v pořádku").A implementaci ipsecu Microsoftem nevěřím už vůbec.
Drobný problém je v tom, že tím směšujete dvě věci dohromady. NAT začínal jako technologie výrazně starší, když pouze překládal adresy 1:1, např. z důvodů přechodu uživatele k jinému poskytovateli (a uživatel současně neměl PI adresy) a nechtělo se mu přečíslovávat všechny počítače v síti.
PAT se objevilo později a jedná se imho o úplně jinou technologii. Při klasickém NAT není potřeba udržovat žádné tabulky s přemapovanými porty, protože NAT byl staticky určený (plus případně connection tracking).
Myslím že z tohoto důvodu není vhodné tyto dva termity slučovat do jednoho.
ČLÁNKY DO MAILU