NAT i bezpieczeństwo sieci

Pytanie: Podobno przełamanie zabezpieczeń NAT nie jest trudnym zadaniem, aczkolwiek nigdy nie słyszałem, aby ktoś to zrobił. Na ile bezpieczna jest prosta sieć zabezpieczona wyłącznie translacją adresów (NAT), pomiędzy połączeniem do Internetu oraz moim komputerem?

Pytanie: Podobno przełamanie zabezpieczeń NAT nie jest trudnym zadaniem, aczkolwiek nigdy nie słyszałem, aby ktoś to zrobił. Na ile bezpieczna jest prosta sieć zabezpieczona wyłącznie translacją adresów (NAT), pomiędzy połączeniem do Internetu oraz moim komputerem?

NAT i bezpieczeństwo sieci

Idea zapory ogniowej Stateful Inspection

Odpowiedź: Włączony NAT pomiędzy połączeniem internetowym a pojedynczym PC lub grupą PC jest zdecydowanie lepszym rozwiązaniem niż brak jakiegokolwiek zabezpieczenia. Zazwyczaj producenci sprzętu sieciowego nie dostarczają w urządzeniu jedynie funkcjonalności NAT, lecz także dają możliwość blokowania usług oraz portów. Nawet gdy ustanowimy prawidłowe połączenie do dowolnego hosta w Internecie i atakujący będzie próbował modyfikować komunikację (atak Man In The Middle), odpowiednio skonfigurowane reguły blokujące nie zezwolą na atak.

Nie należy wierzyć stwierdzeniu, że dowolna zapora ogniowa jest skuteczna, gdy posiada najnowszą wersję oprogramowania dostarczoną przez producenta. Warto uruchomić opcje logowania oraz alarmowania, w przypadku gdy niepożądany ruch dociera do naszej sieci. Podobnie jak aktualizowanie baz antywirusowych, zachowanie powyższych reguł przy korzystaniu z zapory ogniowej pozwoli zmniejszyć ryzyko.

Teoretycznie jest możliwe przełamanie zabezpieczeń zapory ogniowej dysponującej tylko zabezpieczeniem NAT. Na szczęście większość nawet prostych urządzeń posiada możliwość bieżącego śledzenia i analizy wszystkich połączeń. Zapora ogniowa automatycznie blokuje przychodzący ruch na zewnętrznym interfejsie, jeżeli nie był on odpowiedzią na ruch wygenerowany z wnętrza sieci (tryb Stateful Inspection).


TOP 200