it-swarm-tr.com

NAT bir güvenlik katmanı olarak ne kadar önemli?

Bir departmanın binaları taşımasına ve tarihli altyapılarını yükseltmesine yardımcı olmak için oturum açtım. Bu departmanın yaklaşık 40 çalışanı, 25 masaüstü bilgisayarı, eski bir Novell sunucusu ve bağlı sistemlere sahip bir avuç laboratuar işleme makinesi var. Eski konumda, bu bölüm iki ağa sahipti - tamamen ayrı bir anahtarda dışarıdan erişimi olmayan bir LAN ve dışarıdan erişime sahip birkaç makine.

Bu kurulumu, her kullanıcının e-postalara ve zaman izleme sistemine erişmek için ihtiyaç duyduğu kadar modernleştirmeye çalışıyoruz.

Ana kuruluşun (~ 10 bin çalışan) yeni tesis dışı yerinde bağlantı ve telefon sisteminden sorumlu büyük bir BT departmanı vardır. BT bölümü. ters düştü ve merkezi ağlarına bir VPN kurdu. (Statik) bir IP Adresi almak için her masaüstünün BT departmanının sistemine/web sitesine kayıtlı olması gerekir. Verilen her IP Adresine, istemci makinede hizmet dinleyen herhangi bir bağlantı noktasından dışarıdan erişilebilir.

Sunucunun üzerinde gizli (HIPPA) veriler var, masaüstleri ağ sürücülerini bu verilere (bazılarına) erişmek için eşlediler. Ayrıca bir istemci/sunucu LIS'si vardır.

Benim sorum şudur: Tüm bu makinelerin dışarıda erişilebilir olması bir kıyameti yaratmaya değer mi?

Yapmalı mıyız:

  • NAT dışarıdan içeriden ve açıkça izin verilen olarak tanımlanmayan tüm trafiği engelleyen bir güvenlik duvarı isteyin? Her iki durumda da her makine kendi sistemlerinde kayıtlı mı? Her iki durumda da son kullanıcılardan BT ile ilgili tüm talepleri BT departmanına aktarıyorum - bu yüzden sistemlerindeki belirli adreslere bağlı olmaları pek gerekli görünmüyor. En önemlisi, her masaüstünde (değişen platformlar/nesiller) ve sunucuda ayrı güvenlik duvarlarını yönetmek kabus gibi geliyor.
  • BT borç isteyin. mevcut güvenlik duvarlarında bulunan her erişilebilir IP'ye gelen tüm trafiği engelle
  • Departmanları internetten tamamen izole tutun. Kullanıcılar e-posta, internet ve zaman izleme sistemine erişmek için özel makineler paylaşmalıdır.

Bu konudaki herhangi bir yorum veya öneri için şimdiden teşekkür ederiz.

24
iainlbc

NAT ve güvenlik duvarı birbirleriyle hiçbir ilgisi olmayan tamamen dik kavramlardır. bazı NAT uygulamalar yanlışlıkla bazı güvenlik duvarı sağladığından, NAT güvenlik sağlayan kalıcı bir efsane vardır) hayır güvenlik sağlar Hiçbiri Sıfır.

Örneğin, tamamen makul bir NAT uygulaması, yalnızca bir istemcisi varsa tüm gelen TCP ve UDP paketlerini bu istemciye iletebilir). istemcinin NAT aygıtın dış adresi) ile tam olarak aynı olacaktır.

Çoğu NAT cihazların tasarımında yerleşik olarak bazı güvenlik duvarları olduğu veya bunun yanlışlıkla NAT kendisinin herhangi bir güvenlik sağladığı anlamına geldiğini) düşünmeyin. NAT değil güvenlik sağlayan güvenlik duvarı NAT) işin işe yaramasını sağlamaktır.

Bir makinenin dışarıda erişilebilir olmadığını, yalnızca bir NAT cihazın arkasında olduğu için) kabul etmemelisiniz. Bazı cihazların dışarıdan erişilmesine izin vermeyecek şekilde özel olarak yapılandırılmış olması durumunda, cihaz NAT ya da değil.

Dış adresi olan ancak düzgün yapılandırılmış, yönetilen ve izlenen durum bilgisi olan bir güvenlik duvarı olan her makine büyük ölçüde ucuz bir SoHo NAT kutusundan daha üstündür).

Birçok gerçek SoHo NAT iletilen trafiğin kaynağına şimdiye kadar trafik göndermemiş olsa da, hiçbir Host bilgisayarı içerideki ana bilgisayarlara trafik iletir. Permissive NAT gerçekten var.

54
David Schwartz

Sadece/16 netblock ile bir üniversitede 7 yıl geçirdim ve bu tür bir netblock üzerinde böyle olması özellikle yasaklanmamış olan her şeyi koyduktan sonra (PCI-DSS bunu gerektirene kadar bunu gerektiriyordu), ağlarla ilgili biraz deneyimim var bu doğanın.

NAT gerekli değildir. All NAT bir ağı yeniden birleştirmeyi biraz daha zorlaştırır ve bir varlığı varsayılan olarak daha güvenli bir duruşa zorlar.Yani güvenli bir ağ oluşturmak mümkündür. Teknik olarak yönlendirilebilen birkaç alt ağ vardı, ancak çevre güvenlik duvarının dışında hiçbir şey oraya ulaşamazdı.

Şimdi diğer puanlarınız için:

BT borç isteyin. mevcut güvenlik duvarlarında bulunan her erişilebilir IP'ye gelen tüm trafiği engelle

Bu, varsayılan olarak yapılmalıdır. Eski Üniversitemde, Öğrenci Bilgisayar Laboratuarı istasyonlarının internetten adreslenmesine gerek yoktu ve değildi. Aynı şey Öğrenci Sağlık Merkezi verilerini tutan alt ağlar için de geçerli. Bir makinenin herhangi bir nedenden ötürü harici olarak görünür olması gerekiyorsa, verilmeden önce etrafından geçirilmesi ve imzalanması gereken elektronik bir belge vardı; merkezi BT yığınındaki sunucular için bile.

Departmanları internetten tamamen izole tutun. Kullanıcılar e-posta, internet ve zaman izleme sistemine erişmek için özel makineler paylaşmalıdır.

Bu kadar ileri gitmenize gerek yok. Bu kadar ileri gitmenin nedeni, kötü amaçlı yazılımlarla ilgili bilgilere maruz kalma korkunuzun ağ tabanlı kaynaklara bağlantı ihtiyacından daha yüksek olmasıdır. Günümüzde işler gittikçe daha fazla bulut/ağ temelli olduğundan, bu tür hava boşluklu ağların bakımı gittikçe zorlaşıyor. Gerçekten bu kapsamda gitmeniz gerekiyorsa, bazı Uygulama Sanallaştırma seçeneklerine bakmak isteyebilirsiniz, çünkü bu, ihlallerin ortaya çıkması durumunda maruz kalmayı sınırlayabilir.

14
sysadmin1138

Diğerlerinin belirttiği gibi, NAT bir güvenlik özelliği değildir. Bununla birlikte, bir yan ürün olarak bir miktar güvenlik sunar: NAT yan etkisi, iç makinenin hiçbirine "dışarıdan" erişilememesidir. Aynı etki, gelen tüm bağlantıları engelleyen bir güvenlik duvarı ile elde edilebilir. Bu ayrıntılı değildir, ancak pratikte oldukça etkilidir ve NAT bu "otomatik" koruma ile gelmediyse, çok daha fazla mevcut ağ saldırıya uğrayacak ve spam rölelerine zombize edilecektir (bu korkutucu nokta IPv6 hakkında: IPv6, geniş çapta konuşlandırıldığında, NAT'ın koruma etkisini etkisiz hale getirme eğilimi gösterecektir ve kişi saldırı başarısında ortalama bir artış bekleyebilir).

Şimdi iyi yapılandırılmış bir güvenlik duvarına sahip olmak, güvenlik duvarını her kim yapılandırırsa işini doğru bir şekilde yaptığını varsayar ve maalesef bu bir verili değildir (BT departmanınızın yeteneklerini değil, belirli bir işin ortalama kalitesini varsaymak istiyorum) Dünyadaki BT departmanları, özellikle büyük organizasyonlarda, heyecandan daha azdır). Alternatif olarak, herkesin erişebildiği her bir makinenin gelen bağlantılarla ilgili her türlü saldırıya direnmesi gerekir: gereksiz tüm hizmetleri kapatın, açık kalan hizmetlerin düzgün bir şekilde güncel olduğundan ve iyi yapılandırıldığından emin olun. Her bir iş istasyonunda güvenlik güncellemeleri uygulamak ister misiniz? Ve ağ özellikli yazıcıların ürün yazılımında?

Tavsiyem, ağınızla dış dünya arasındaki tüm iletişimin geçeceği kendi filtre kutunuzu kurmak olacaktır. Bu kutu daha sonra gelen bağlantıları filtrelemelidir; NAT ve/veya güvenlik duvarı, bu sizin aramanız. NAT, özellikle BT departmanı "işbirliği yapmayan" ise daha kolay olabilir.

12
Tom Leek
8
symcbean

NAT, bir güvenlik katmanı olarak önemli değildir ve herhangi bir güvenlik sağladığı düşünülmemelidir (istemeden daha güvenli hale getirse bile).

HIPPA uyumluluğunu bilmiyorum, ancak PCI uyumluluğu kredi kartı bilgilerine erişimi olan bilgisayarlar için çok özel kurulumlar gerektiriyor. Önce HIPPA gereksinimlerini karşılayacak şekilde tasarlamalı ve sonra ek güvenlik önlemleri tasarlamalısınız. PCI uyumluluğunun şakası, uyumluluğun ceza riskini azalttığı, ancak güvenlik açıklarından yararlanma riskini azaltmadığıdır.

HIPPA kuralları, HIPPA verilerine erişimi olan bilgisayarlara nasıl davranmanız gerektiği konusunda sizi bilgilendirebilir.

7
Bradley Kreider

NAT'lar ve liman nakliyeleri hakkında biraz bilgi sahibi olmama rağmen David Schwartz'ın yazdıklarının çoğuna katılmıyorum. Biraz kaba davranmamış olabilir Cevabımın ikinci paragrafını okuyun.

NAT her şeyin cevabı değildir. Dış tarafların hizmetlerinize bağlanmasını zorlaştırır. Çoğu NAT uygulamalar port-port bazında dönüşüm yapar ve gelen paketteki Ana Bilgisayar tanınmazsa, hiçbir NAT kurallar izlenecek, bu nedenle reddedilecek) Bu, sunucu istemcisine yeniden bağlanmak için hala bazı delikler bırakır.

Daha da önemlisi kendinizi hem iç hem de dış bağlantılardan korumaktır. NAT bu şekilde yanlış güvenlik sağlar. USB çubuğundan yalnızca bir hata gerekir ve herkesin içeri girmesine izin veren bir bağlantı iletimi olabilir.

IP alanınızdan bağımsız olarak, bağlantıları izin verilenlerle sınırlandırmalısınız. İş istasyonlarının genellikle SQL hizmetine bağlanmasına izin verilmemelidir. Kişisel olarak durum bilgisi olan güvenlik duvarlarından hoşlanmıyorum ama her biri kendi başına. Ben daha çok yönlendirici tipi bir adamım tüm paketleri bırak.

4
Antti Rytsölä

NAT bir Güvenlik Duvarıdır. Ve bu bir fikir değil. Bu bir gerçek. Güvenlik Duvarı tanımına bakıldığında:

Güvenlik duvarı "iki veya daha fazla ağ arasında bir sınır uygulayan bir sistem veya sistem birleşimidir".

lusal Bilgisayar Güvenlik Birliği'nin standart Güvenlik Duvarı İşlevsel Özet şablon

A NAT tam olarak bu tür bir sınır oluşturur.

Diğer güvenlik duvarlarının sağlayabileceği şey, yalnızca gelen bağlantıları değil, giden bağlantıları engelleme yeteneğidir. Güzel özellik, ama ana değil.

Özellikler hakkında konuşmak, bir DMZ ağlar arasında bir deliktir. Normalde bir dahili hizmet Internet'e açığa çıkarmak için bir yol sağlar. Teknik olarak NAT = tanım, tüm modern NAT'ların bir özelliği

NAT güvenlik duvarı ve bazı durumlarda en iyisidir. NAT yapmayan durumsal denetim güvenlik duvarları çoğunlukla "başarısız açma" yapar. Geliştirici olarak bir "Yeni nesil güvenlik duvarı" şirketinde çalıştım. Protokol/uygulama algılama satır içi yapmak için, bazı paketler algılanana kadar geçmek zorunda kaldı. Gecikme getirmeden arabelleğe almanın bir yolu yoktu. Hemen hemen tüm DPI çözümleri bu şekilde çalışır.

Diğer yandan NAT kapalıdır. Yaygın hatalar, İnternet erişimini açmak yerine İnternet erişimini kapatır.

1
VP.

Sorunuzla ilgili olarak "kıyameti mi yapmalıyım?" Risk değerlendirmesinin (konu, olasılık, etki, hafifletme) belgelenmesini ve paydaşlara sunulmasını öneririm. Eğer iletişim kurmadan yalnız bir karar alırsanız ve önemli bir ihlal varsa, bu sizin için kötü olabilir.

0
gatorback