it-swarm.dev

Quanto è importante NAT come livello di sicurezza?

Ho firmato per aiutare un dipartimento a spostare edifici e aggiornare la loro infrastruttura datata. Questo dipartimento ha circa 40 dipendenti, 25 desktop, un vecchio server Novell e una manciata di macchine per l'elaborazione di laboratorio con sistemi collegati. Nella vecchia sede, questo dipartimento aveva due reti: una LAN senza accesso esterno su uno switch completamente separato e alcune macchine con accesso esterno.

Stiamo provando a modernizzare un po 'questa configurazione in quanto praticamente tutti gli utenti devono accedere alla posta elettronica e al sistema di monitoraggio del tempo.

L'organizzazione principale (circa 10.000 dipendenti) ha un ampio reparto IT che si occupa della connessione e del sistema telefonico nella nuova sede esterna. Il reparto IT. era entrato e aveva installato una VPN sulla propria rete centrale. Ogni desktop deve essere registrato nel sistema/sito Web del reparto IT per ottenere un indirizzo IP (statico). Ogni indirizzo IP fornito è al di fuori accessibile su qualsiasi porta che ha un servizio in ascolto sul computer client.

Il server ha dati riservati (HIPPA) su di esso, i desktop hanno mappato le unità di rete per accedere (alcuni) di questi dati. È inoltre disponibile un LIS client/server.

La mia domanda è questa: vale la pena puzzare che tutte queste macchine siano accessibili all'esterno?

Dovremmo:

  • Richiesta NAT per sottrarre l'esterno dall'interno, nonché un firewall che blocca tutto il traffico non esplicitamente definito come consentito? In tal caso, quali argomenti posso sostenere per NAT/firewall che superano i vantaggi di loro che hanno ciascuna macchina registrata nel loro sistema? In ogni caso, inoltrerei tutte le richieste relative all'IT dagli utenti finali al reparto IT, quindi non sembra molto necessario averli collegati a indirizzi specifici nel loro sistema. Ancora più importante, sembra un incubo gestire firewall separati su ogni desktop (piattaforme/generazioni diverse) e sul server.
  • Richiedi il reparto IT. bloccare tutto il traffico in entrata verso ciascun IP accessibile su qualsiasi firewall esistente in atto
  • Mantenere i dipartimenti LAN completamente isolati da Internet. Gli utenti devono condividere macchine dedicate per l'accesso alla posta elettronica, a Internet e al sistema di monitoraggio del tempo.

Grazie in anticipo per eventuali commenti o consigli in merito.

24
iainlbc

NAT e firewall sono concetti completamente ortogonali che non hanno nulla a che fare l'uno con l'altro. Poiché alcuni NAT implementazioni forniscono accidentalmente alcuni firewall, esiste un mito persistente che NAT fornisce sicurezza. Fornisce no sicurezza di sorta. Nessuna. Zero.

Ad esempio, un'implementazione NAT perfettamente ragionevole potrebbe, se avesse un solo client, inoltrare tutti i pacchetti TCP e UDP in ingresso a quell'unico client. L'effetto netto sarebbe esattamente lo stesso che se il client avesse l'indirizzo esterno del dispositivo NAT.

Non pensate che, poiché la maggior parte dei dispositivi NAT hanno alcuni firewall integrati in base alla progettazione o alcuni per errore, ciò significa che NAT stesso fornisce sicurezza. È il firewall che fornisce la sicurezza, non il NAT. Lo scopo di NAT è di far funzionare le cose.

Non devi presumere che una macchina non sia accessibile dall'esterno solo perché si trova dietro un dispositivo NAT. Non è accessibile dall'esterno se un dispositivo è specificamente configurato per non consentire l'accesso dall'esterno, indipendentemente dal fatto che quel dispositivo sia NAT.

Ogni macchina che ha un indirizzo esterno ma con un firewall stateful che è correttamente configurato, gestito e monitorato è ampiamente superiore a una scatola SoHo NAT economica.

Molte scatole SoHo NAT effettive inoltrano il traffico agli host interni, nonostante nessun host interno abbia mai inviato il traffico all'origine del traffico inoltrato. Il permesso NAT esiste davvero.

54
David Schwartz

Avendo appena trascorso 7 anni in un'università con un netblock/16 e messo tutto su quel netblock che non era specificamente vietato essere su tale (PCI-DSS lo richiedeva, fino a quando non lo riparavano), ho una certa esperienza con le reti di questa natura.

NAT non è richiesto. Tutto NAT fa è un po 'più difficile ricongiungere una rete e costringe un'entità a una postura più sicura per impostazione predefinita. Detto questo, è perfettamente possibile costruire una rete sicura su indirizzi IP pubblici. Avevamo un paio di sottoreti che erano tecnicamente instradabili, ma nulla al di fuori del firewall perimetrale poteva arrivarci.

Ora per i tuoi altri punti:

Richiedi il reparto IT. bloccare tutto il traffico in entrata verso ciascun IP accessibile su qualsiasi firewall esistente in atto

Questo dovrebbe essere fatto di default. Nella mia vecchia università, le stazioni di Computer Computer Lab non avevano bisogno di essere indirizzabili da Internet e non lo erano. Lo stesso valeva per le sottoreti che contenevano i dati del Centro di salute per studenti. Se una macchina doveva essere visibile esternamente per qualche motivo, c'era un documento elettronico che doveva essere passato in giro e firmato prima che potesse essere concesso; anche per server nello stack IT centralizzato.

Mantenere i dipartimenti LAN completamente isolati da Internet. Gli utenti devono condividere macchine dedicate per l'accesso alla posta elettronica, a Internet e al sistema di monitoraggio del tempo.

Non devi andare così lontano. Il motivo per spingersi così lontano è se il timore dell'esposizione alle informazioni relative al malware è superiore alla necessità di connettività alle risorse basate sulla rete. Al giorno d'oggi le cose sono sempre più basate su cloud/rete, quindi tali reti con gap aereo stanno diventando sempre più difficili da mantenere. Se hai davvero bisogno di andare fino a questo punto, potresti voler esaminare alcune delle opzioni di virtualizzazione dell'applicazione là fuori, in quanto ciò può limitare l'esposizione delle violazioni nel caso in cui si verifichino.

14
sysadmin1138

Come altri hanno sottolineato, NAT non è una funzione di sicurezza. Tuttavia, offre un livello di sicurezza come sottoprodotto: un effetto collaterale di NAT è che nessuna macchina interna è accessibile "dall'esterno". Lo stesso effetto può essere ottenuto da un firewall che blocca tutte le connessioni in entrata. Questo non è ben definito, ma piuttosto efficace nella pratica, e se NAT non è venuto con quella protezione "automatica", molte più reti esistenti sarebbero attaccate e zombificate in relay di spam (questo è il punto spaventoso su IPv6, tra l'altro: IPv6, quando [se] ampiamente diffuso, avrà la tendenza a annullare l'effetto di protezione del NAT e ci si può aspettare un aumento medio del successo dell'attacco).

Ora avere un firewall ben configurato presuppone che chiunque configura il firewall faccia correttamente il suo lavoro e, sfortunatamente, non è un dato di fatto (non voglio presumere sulle capacità del tuo specifico reparto IT, ma sulla qualità media del lavoro di I dipartimenti IT di tutto il mondo, specialmente nelle grandi organizzazioni, sono meno che elettrizzanti). L'alternativa è quella di garantire che ogni singola macchina accessibile pubblicamente dovrebbe resistere a tutti i tipi di attacchi relativi alle connessioni in entrata: chiudere tutti i servizi non necessari, assicurarsi che i servizi che rimangono aperti siano adeguatamente aggiornati e ben configurati. Vorresti applicare aggiornamenti di sicurezza su ogni singola workstation? E sul firmware delle stampanti compatibili con la rete?

Il mio consiglio sarebbe quello di installare il tuo box filtro, attraverso il quale passeranno tutte le comunicazioni tra la tua rete e il mondo esterno. Quella casella dovrebbe quindi filtrare le connessioni in entrata; NAT e/o firewall, questa è la tua chiamata. NAT può essere più semplice, specialmente se il dipartimento IT è "non collaborativo".

12
Tom Leek
8
symcbean

NAT non è importante come livello di sicurezza e non dovrebbe essere considerato come un servizio di sicurezza (anche se inavvertitamente lo rende più sicuro).

Non conosco la conformità HIPPA, ma la conformità PCI richiede impostazioni molto specifiche per i computer che hanno accesso alle informazioni della carta di credito. È necessario progettare prima di soddisfare i requisiti HIPPA e quindi progettare ulteriori misure di sicurezza. Lo scherzo della conformità PCI è che la conformità riduce il rischio di multe, ma non necessariamente riduce il rischio di exploit di sicurezza.

Le regole HIPPA potrebbero informarti su come trattare i computer che hanno accesso ai dati HIPPA.

7
Bradley Kreider

Anche se so un po 'di NAT e port forwarding non sono d'accordo con la maggior parte di ciò che David Schwartz ha scritto. Potrebbe essere perché era un po 'poco educato Leggi il secondo paragrafo della mia risposta.

NAT non è la risposta a tutto. Rende solo difficile per le parti esterne connettersi ai tuoi servizi. La maggior parte NAT eseguono la conversione porta per porta e se l'host nel pacchetto in entrata non viene riconosciuto, non ci saranno NAT da seguire, quindi negate connessione. Ciò lascia ancora alcuni buchi con il client del server appena connesso alla connessione di nuovo.

Più importante è proteggersi dalle connessioni interne e esterne. NAT fornisce falsa sicurezza in questo modo. È necessario solo un bug da una chiavetta USB e potrebbe esserci un inoltro di connessione che consente a tutti di entrare.

Indipendentemente dal tuo spazio IP, dovresti limitare le connessioni a quelle consentite. Alle workstation di solito non dovrebbe essere consentito di connettersi al servizio SQL. Personalmente non mi piacciono i firewall con stato ma ognuno per conto suo. Sono più il tipo di router di tipo rilascia tutti i pacchetti.

4
Antti Rytsölä

Ogni risposta su questo thread riguardante NAT trascura un aspetto importante di NAT. L'implementazione di NAT crea un interno, privato, non instradabile intervallo di indirizzi. Il termine "non instradabile" è significativo. Gli hacker amano esfiltrare i flussi di dati di rete di un'organizzazione e operare con il traffico di rete interno locale su un intervallo di indirizzi pubblici significa che l'intera nozione di difesa in profondità è significativamente diminuito. Perché chiunque vuole creare condizioni che consentano al traffico locale di essere instradabile verso Internet globale? Per rendere le cose più facili, un utente malintenzionato potrebbe hackerare il dispositivo e aggiungere percorsi, ma perché vorresti dare un tale ostacolo in meno per eseguire il backhaul dei flussi di dati della tua rete interna?

Detto in altro modo, in caso di controversia derivante da una violazione dell'HIPAA, quale pazzo potrebbe prendere qualsiasi posizione in aula e giurare sotto giuramento che dare a un hacker un volo diretto per le tue informazioni sensibili è stata una decisione ragionevole? I produttori di router wireless domestici interrompono NAT come default predefinito perché il loro legale dice loro: "Sicuro - Lancia i dadi ... Dovremmo bruciare il nostro budget legale per il decennio difendendo un caso in cui noi metti i sistemi residenziali personali in innumerevoli famiglie in uno stato che (fondamentalmente) lascia che i loro pantaloni collettivi si abbassassero intorno alle loro caviglie! "

Ho il sospetto che ci siano troppi che si preoccupano semplicemente di scusare l'implementazione perché non possono o non impiegheranno il tempo a configurare la corretta statica o dinamica NAT o PAT come best practice. PER FAVORE, evitare il ridicolo inutile e - carcere tempo ignorando gli standard federali. Se si accetta un'assicurazione medica federale, i minimi NIST sono obbligatorio. Discutere eleganti eccezioni per un dato valore anomalo tecnologico tutto ciò che si desidera, ma non diamo chiunque abbia l'impressione che sia una buona idea rendere un ambiente più vulnerabile. Ipotetici a parte, facendo le cose giuste fa richiede più tempo e fatica ... ma ci sono casi in cui la cosa giusta è la scelta migliore .

1

NAT è un firewall. E non è un'opinione. È un fatto. Esaminando la definizione di Firewall:

Un firewall è "un sistema o una combinazione di sistemi che impone un confine tra due o più reti".

modello di riepilogo funzionale standard del firewall della National Computer Security Association

A NAT crea esattamente quel tipo di confine.

Ciò che altri firewall potrebbero fornire è la possibilità di bloccare le connessioni in uscita, non solo le connessioni in entrata. Bella caratteristica, ma non quella principale.

A proposito di funzionalità, a DMZ è un buco tra le reti. Normalmente fornisce un modo per esporre un servizio interno a Internet. Pur non essendo tecnicamente parte del NAT = definizione, è una caratteristica di tutti i NAT moderni

NAT è firewall e in alcune situazioni, il migliore. I firewall di ispezione con stato, che non eseguono NAT, eseguono principalmente "fail-open". Ho lavorato per un'azienda "Next generation firewall" come sviluppatore. Per eseguire il rilevamento del protocollo/dell'applicazione in linea, alcuni pacchetti dovevano passare attraverso fino a quando non venivano rilevati. Non c'era modo di bufferizzarlo, senza introdurre ritardi. Quasi tutte le soluzioni DPI funzionano così.

NAT, d'altra parte, non riesce chiuso. Errori comuni bloccano l'accesso a Internet piuttosto che aprire l'accesso da Internet.

1
VP.

Per quanto riguarda la tua domanda "dovrei fare una puzza?" Suggerirei che una valutazione del rischio (problematica, probabilità, impatto, mitigazione) sia documentata e presentata alle parti interessate. Se prendi una decisione solitaria senza comunicarla e c'è una violazione significativa, potrebbe essere di cattivo auspicio per te.

0
gatorback