it-swarm-vi.com

Làm thế nào quan trọng là NAT như một lớp bảo mật?

Tôi đã đăng ký để giúp một bộ phận di chuyển các tòa nhà và nâng cấp cơ sở hạ tầng ngày của họ. Bộ phận này có khoảng 40 nhân viên, 25 máy tính để bàn, một máy chủ Novell cũ và một số máy xử lý phòng thí nghiệm với các hệ thống kèm theo. Tại vị trí cũ, bộ phận này có hai mạng - một mạng LAN không có quyền truy cập bên ngoài vào một công tắc hoàn toàn riêng biệt và một số máy có quyền truy cập bên ngoài.

Chúng tôi đang cố gắng hiện đại hóa thiết lập này một chút vì mọi người dùng đều cần truy cập email và hệ thống theo dõi thời gian.

Tổ chức mẹ (~ 10k nhân viên) có một bộ phận CNTT lớn phụ trách hệ thống kết nối và điện thoại tại địa điểm mới. Phòng CNTT. đã bỏ qua và thiết lập VPN vào mạng trung tâm của họ. Mỗi máy tính để bàn cần phải được đăng ký trong hệ thống/trang web của phòng CNTT để có được Địa chỉ IP (tĩnh). Mỗi Địa chỉ IP được cung cấp bên ngoài có thể truy cập được trên bất kỳ cổng nào có dịch vụ lắng nghe trên máy khách.

Máy chủ có dữ liệu bí mật (HIPPA) trên đó, các máy tính để bàn đã ánh xạ các ổ đĩa mạng để truy cập (một số) dữ liệu này. Ngoài ra còn có LIS máy khách/máy chủ tại chỗ.

Câu hỏi của tôi là: Có đáng để làm cho một mùi hôi thối rằng tất cả các máy này có thể truy cập được bên ngoài không?

Chúng ta có nên:

  • Yêu cầu NAT để trừu tượng bên ngoài từ bên trong, cũng như tường lửa chặn tất cả lưu lượng truy cập không được xác định rõ ràng là được phép? Nếu vậy, tôi có thể đưa ra lập luận nào cho NAT/tường lửa vượt trội hơn lợi ích Trong số họ có từng máy được đăng ký trong hệ thống của họ? Tôi sẽ chuyển tiếp tất cả các yêu cầu liên quan đến CNTT từ người dùng cuối đến bộ phận CNTT trong cả hai trường hợp - vì vậy dường như không cần thiết phải gắn chúng vào các địa chỉ cụ thể trong hệ thống của họ. Quan trọng nhất, nghe có vẻ như một cơn ác mộng khi quản lý các tường lửa riêng biệt trên mọi máy tính để bàn (các nền tảng/thế hệ khác nhau) và trên máy chủ.
  • Yêu cầu phòng CNTT. chặn tất cả lưu lượng truy cập đến từng IP có thể truy cập trên bất kỳ tường lửa hiện có nào mà chúng có tại chỗ
  • Giữ các bộ phận LAN hoàn toàn cách ly với internet. Người dùng phải chia sẻ các máy chuyên dụng để truy cập email, internet và hệ thống theo dõi thời gian.

Cảm ơn trước cho bất kỳ ý kiến ​​hoặc lời khuyên về điều này.

24
iainlbc

NAT và tường lửa là những khái niệm hoàn toàn trực giao không liên quan gì đến nhau. Bởi vì một số NAT triển khai vô tình cung cấp một số tường lửa, có một huyền thoại dai dẳng rằng NAT cung cấp bảo mật Nó cung cấp không bảo mật nào. Không. Không.

Ví dụ: việc triển khai NAT hoàn toàn hợp lý có thể, nếu nó chỉ có một máy khách, hãy chuyển tiếp tất cả các gói gửi đến TCP và các gói UDP cho một máy khách đó. sẽ chính xác giống như khi máy khách có địa chỉ bên ngoài của thiết bị NAT.

Đừng nghĩ rằng vì hầu hết các thiết bị NAT đều có một số tường lửa được xây dựng theo thiết kế hoặc do một số tình cờ mà điều này có nghĩa là NAT tự cung cấp bất kỳ bảo mật nào. tường lửa cung cấp bảo mật, không phải NAT. Mục đích của NAT là để mọi thứ hoạt động.

Bạn không được cho rằng máy không thể truy cập bên ngoài chỉ vì nó nằm sau thiết bị NAT. Nó không thể truy cập bên ngoài nếu một số thiết bị được cấu hình cụ thể không cho phép truy cập từ bên ngoài, cho dù đó là thiết bị nào NAT hay không.

Mỗi máy có địa chỉ bên ngoài nhưng có tường lửa trạng thái được cấu hình, quản lý và giám sát đúng cách là rất lớn vượt trội so với hộp SoHo NAT giá rẻ).

Nhiều SoHo NAT hộp chuyển tiếp lưu lượng truy cập vào bên trong máy chủ mặc dù không có bên trong Máy chủ nào đã gửi lưu lượng truy cập đến nguồn lưu lượng được chuyển tiếp. Permissive NAT thực sự tồn tại.

54
David Schwartz

Mới trải qua 7 năm tại một trường đại học với/16 netblock và đặt mọi thứ vào netblock đó không bị cấm đặc biệt như vậy (PCI-DSS được sử dụng để yêu cầu điều này, cho đến khi họ sửa nó), tôi có một số kinh nghiệm với các mạng của bản chất này.

NAT là không bắt buộc. Tất cả NAT không làm cho việc điều chỉnh lại mạng trở nên khó khăn hơn một chút và buộc một thực thể vào một tư thế mặc định an toàn hơn. Điều đó nói rằng, hoàn toàn có thể xây dựng một mạng an toàn trên các địa chỉ IP công cộng. Có một vài mạng con mà chúng tôi có có thể điều chỉnh được về mặt kỹ thuật, nhưng không có gì ngoài tường lửa chu vi có thể đến đó.

Bây giờ cho các điểm khác của bạn:

Yêu cầu phòng CNTT. chặn tất cả lưu lượng truy cập đến từng IP có thể truy cập trên bất kỳ tường lửa hiện có nào mà chúng có tại chỗ

Điều này nên được thực hiện theo mặc định. Ở trường đại học cũ của tôi, các trạm phòng thí nghiệm máy tính của sinh viên không cần phải truy cập từ Internet và họ không có. Điều tương tự cũng xảy ra với các mạng con chứa dữ liệu của Trung tâm Y tế Sinh viên. Nếu một số máy cần phải được nhìn thấy bên ngoài vì một số lý do, có một tài liệu điện tử phải được thông qua và ký trước khi có thể được cấp; ngay cả đối với các máy chủ trong ngăn xếp CNTT tập trung.

Giữ các bộ phận LAN hoàn toàn cách ly với internet. Người dùng phải chia sẻ các máy chuyên dụng để truy cập email, internet và hệ thống theo dõi thời gian.

Bạn không cần phải đi xa đến thế này. Lý do để đi xa đến mức này là nếu nỗi sợ tiếp xúc với thông tin liên quan đến phần mềm độc hại của bạn cao hơn nhu cầu kết nối với các tài nguyên dựa trên mạng. Mọi thứ ngày càng dựa trên đám mây/mạng dựa trên những ngày này, vì vậy các mạng bị chặn không khí như vậy ngày càng khó bảo trì hơn. Nếu bạn thực sự cần phải đi đến mức này, bạn có thể muốn xem xét một số tùy chọn Ảo hóa Ứng dụng ngoài kia, vì điều đó có thể hạn chế sự phơi nhiễm của các vi phạm nếu chúng xảy ra.

14
sysadmin1138

Như những người khác đã chỉ ra, NAT không phải là tính năng bảo mật. Tuy nhiên, nó cung cấp một số mức bảo mật dưới dạng sản phẩm phụ: tác dụng phụ của NAT là không có máy nào bên trong có thể truy cập "từ bên ngoài". Hiệu ứng tương tự có thể đạt được bằng tường lửa chặn tất cả các kết nối đến. Đây không phải là chi tiết tốt, nhưng thực tế là hiệu quả, và nếu NAT không đi kèm với bảo vệ "tự động" đó, rất nhiều mạng hiện có sẽ bị tấn công và được kết hợp thành các rơle spam (đó là điểm đáng sợ về IPv6, nhân tiện: IPv6, khi [nếu] được triển khai rộng rãi, sẽ có xu hướng vô hiệu hóa hiệu quả bảo vệ của NAT và người ta có thể mong đợi sự gia tăng trung bình của thành công tấn công).

Bây giờ có một tường lửa được cấu hình tốt sẽ cho rằng bất cứ ai cấu hình tường lửa đều thực hiện công việc của mình một cách chính xác, và thật không may, đó không phải là điều được đưa ra (tôi không muốn giả định về khả năng của bộ phận CNTT cụ thể của bạn, nhưng chất lượng công việc trung bình của Các bộ phận CNTT trên toàn thế giới, đặc biệt là trong các tổ chức lớn, ít ly kỳ hơn). Giải pháp thay thế để đảm bảo rằng mọi máy đơn có thể truy cập công khai phải chống lại tất cả các loại tấn công liên quan đến kết nối đến: đóng tất cả các dịch vụ không cần thiết, đảm bảo rằng các dịch vụ vẫn mở được cập nhật đúng cách và được cấu hình tốt. Fancy áp dụng cập nhật bảo mật trên mỗi máy trạm? Và trên firmware của máy in có khả năng kết nối mạng?

Lời khuyên của tôi sẽ là cài đặt hộp bộ lọc của riêng bạn, qua đó tất cả các giao tiếp giữa mạng của bạn và thế giới bên ngoài sẽ đi. Hộp đó sau đó sẽ lọc ra các kết nối đến; NAT và/hoặc tường lửa, đó là cuộc gọi của bạn. NAT có thể dễ dàng hơn, đặc biệt nếu bộ phận CNTT "không hợp tác".

12
Tom Leek
8
symcbean

NAT không quan trọng như một lớp bảo mật và không nên được coi là cung cấp bất kỳ bảo mật nào (ngay cả khi nó vô tình làm cho nó an toàn hơn).

Tôi không biết tuân thủ HIPPA, nhưng tuân thủ PCI yêu cầu thiết lập rất cụ thể cho các máy tính có quyền truy cập vào thông tin thẻ tín dụng. Bạn nên thiết kế xung quanh trước tiên đáp ứng các yêu cầu của HIPPA và sau đó thiết kế các biện pháp bảo mật bổ sung. Trò đùa của việc tuân thủ PCI là tuân thủ sẽ giảm rủi ro bị phạt, nhưng không nhất thiết phải giảm rủi ro khai thác bảo mật.

Các quy tắc HIPPA có thể thông báo cho bạn về cách bạn phải đối xử với các máy tính có quyền truy cập vào dữ liệu HIPPA.

7
Bradley Kreider

Mặc dù tôi biết một chút về NAT và chuyển tiếp cổng, tôi không đồng ý hầu hết những gì David Schwartz đã viết. Có thể là do anh ta hơi thiếu lịch sự Đọc đoạn thứ hai trong câu trả lời của tôi.

NAT không phải là câu trả lời cho tất cả mọi thứ. Nó chỉ gây khó khăn cho các bên ngoài để kết nối với các dịch vụ của bạn. Hầu hết NAT triển khai thực hiện chuyển đổi cơ sở từng cổng và nếu Máy chủ trong gói đến không được nhận ra, sẽ không có quy tắc NAT tuân theo, do đó bị từ chối Kết nối. Điều này vẫn để lại một số lỗ hổng với máy khách máy khách vừa kết nối để kết nối lại.

Quan trọng hơn là bảo vệ bản thân khỏi các kết nối bên trong cũng như các kết nối bên ngoài. NAT cung cấp bảo mật sai theo cách này. Bạn chỉ cần một lỗi từ thanh USB và có thể có chuyển tiếp kết nối cho phép mọi người vào.

Bất kể không gian IP của bạn, bạn nên giới hạn kết nối với những người được phép. Máy trạm thường không được phép kết nối với dịch vụ SQL. Cá nhân tôi không thích tường lửa nhà nước nhưng mỗi người là của riêng mình. Tôi là loại người của bộ định tuyến bỏ tất cả các gói.

4
Antti Rytsölä

Mọi phản hồi về chủ đề này liên quan đến NAT đều bỏ qua một khía cạnh quan trọng của NAT. Việc triển khai NAT tạo ra một nội bộ, riêng tư, không thể định tuyến phạm vi địa chỉ. Thuật ngữ "không thể định tuyến" là rất quan trọng. Tin tặc thích thực hiện các luồng dữ liệu mạng của tổ chức và hoạt động với lưu lượng truy cập mạng nội bộ của bạn trên phạm vi địa chỉ công cộng Tại sao bất cứ ai muốn tạo điều kiện cho phép lưu lượng truy cập cục bộ của bạn có thể truy cập được trên Internet toàn cầu? Để làm cho mọi thứ dễ dàng, kẻ tấn công độc hại có thể hack thiết bị và thêm tuyến đường - nhưng tại sao bạn sẽ cho một cá nhân như vậy sẽ bớt trở ngại để truyền lại luồng dữ liệu mạng nội bộ của bạn?

Nói cách khác, nếu kiện tụng phát sinh từ vi phạm HIPAA, thì lunatic có thể đưa ra bất kỳ tòa án nào và tuyên thệ rằng việc đưa tin tặc bay thẳng đến thông tin nhạy cảm của bạn là một quyết định hợp lý? Các nhà sản xuất bộ định tuyến không dây tại nhà sẽ ngừng NAT như một mặc định thông thường vì luật pháp của họ nói với họ, "Chắc chắn - Lăn xúc xắc ... Chúng ta nên đốt ngân sách pháp lý của mình trong thập kỷ để bảo vệ trường hợp chúng ta đặt hệ thống dân cư cá nhân vào vô số hộ gia đình trong tình trạng (về cơ bản) khiến chiếc quần tập thể của họ bị tụt xuống quanh mắt cá chân! "

Tôi nghi ngờ có quá nhiều người chỉ đơn giản quan tâm đến việc xin lỗi vì họ không thể hoặc sẽ không dành thời gian để định cấu hình tĩnh hoặc động NAT hoặc PAT là cách thực hành tốt nhất. XIN tránh sự chế giễu không cần thiết và - thời gian bằng cách bỏ qua các tiêu chuẩn liên bang. Nếu bạn chấp nhận bất kỳ bảo hiểm y tế liên bang nào, mức tối thiểu của NIST là bắt buộc. Tranh luận về các ngoại lệ thanh lịch cho một công nghệ nhất định mà bạn muốn, nhưng đừng đưa ra Bất cứ ai ấn tượng đó là một ý tưởng tốt để làm cho một môi trường dễ bị tổn thương hơn. Giả thuyết sang một bên, làm những điều đúng đắn không mất nhiều thời gian và công sức hơn ... nhưng có những trường hợp điều đúng đắn là sự lựa chọn tốt nhất .

1
STX Topper MCSE CEH

NAT là một Tường lửa. Và đó không phải là một ý kiến. Đó là thực tế. Nhìn vào định nghĩa của Tường lửa:

Tường lửa là "một hệ thống hoặc sự kết hợp của các hệ thống thực thi một ranh giới giữa hai hoặc nhiều mạng".

Mẫu Tóm tắt chức năng tường lửa tiêu chuẩn của Hiệp hội bảo mật máy tính quốc gia

A NAT tạo ra chính xác loại ranh giới đó.

Những gì tường lửa khác có thể cung cấp là khả năng chặn các kết nối ra ngoài, không chỉ các kết nối đến. Tính năng đẹp, nhưng không phải là chính.

Nói về các tính năng, a DMZ là một lỗ hổng giữa các mạng. Thông thường, nó cung cấp một cách để hiển thị một dịch vụ nội bộ với Internet. Mặc dù về mặt kỹ thuật không phải là một phần của NAT = định nghĩa, đó là một tính năng của tất cả các NAT hiện đại

NAT là tường lửa và trong một số tình huống, là tốt nhất. Tường lửa kiểm tra nhà nước, không làm NAT, chủ yếu là "không mở". Tôi đã làm việc cho một công ty "tường lửa thế hệ tiếp theo" với tư cách là nhà phát triển. Để thực hiện giao thức/phát hiện ứng dụng nội tuyến, một số gói phải đi qua cho đến khi được phát hiện. Không có cách nào để đệm nó, mà không giới thiệu sự chậm trễ. Hầu như tất cả các giải pháp DPI đều hoạt động như vậy.

NAT, mặt khác, thất bại đóng cửa. Các lỗi thường gặp khi tắt truy cập Internet thay vì mở truy cập từ Internet.

1
VP.

Đối với câu hỏi của bạn "tôi có nên làm hôi thối?" Tôi sẽ đề nghị rằng một đánh giá rủi ro (vấn đề, xác suất, tác động, giảm thiểu) phải được ghi lại và trình bày cho các bên liên quan. Nếu bạn đưa ra một quyết định đơn độc mà không truyền đạt nó và có một vi phạm đáng kể, nó có thể là điềm xấu cho bạn.

0
gatorback