web-dev-qa-db-ja.com

セキュリティレイヤーとしてNATは重要ですか?

部署が建物を移動し、時代遅れのインフラストラクチャをアップグレードするのを支援するためにサインオンしました。この部門には、約40人の従業員、25台のデスクトップ、古いNovellサーバー、およびシステムが接続された少数のラボ用処理機があります。以前の場所では、この部門には2つのネットワークがありました-まったく別のスイッチ上で外部アクセスがまったくないLANと、外部アクセスが可能な数台のマシン。

私たちはこのセットアップを少し現代化しようとしていますが、ほとんどすべてのユーザーが電子メールと時間追跡システムにアクセスする必要があります。

親組織(従業員約1万人)には、新しいオフサイトの場所での接続と電話システムを担当する大規模なIT部門があります。 IT部門。 uverseが立ち寄り、中央ネットワークにVPNをセットアップした。 (静的)IPアドレスを取得するには、各デスクトップをIT部門のシステム/ウェブサイトに登録する必要があります。指定された各IPアドレスは、クライアントマシンでリッスンしているサービスがあるすべてのポートで外部からアクセスできます。

サーバーには機密データ(HIPPA)があり、デスクトップにはこのデータ(の一部)にアクセスするためのネットワークドライブが割り当てられています。クライアント/サーバーLISも用意されています。

私の質問はこれです:これらのすべてのマシンが外部からアクセス可能であることは悪臭を放つ価値がありますか?

我々がすべき:

  • 要求NAT内部から外部を抽象化するため、および許可されていると明示的に定義されていないすべてのトラフィックをブロックするファイアウォール?そうである場合、利点よりも重要なNAT /ファイアウォールに対してどのような議論をすることができますか?各マシンをシステムに登録していますか?どちらの場合も、エンドユーザーからのIT関連の要求をすべてIT部門に中継するので、システム内の特定のアドレスに関連付ける必要はあまりありません。最も重要なのは、すべてのデスクトップ(プラットフォームや世代が異なる)とサーバーで別々のファイアウォールを管理することは、悪夢のように聞こえることです。
  • IT部門に依頼してください。既存のファイアウォールがどこにあっても、WANアクセス可能な各IPへのすべての着信トラフィックをブロックします
  • 部門のLANをインターネットから完全に分離してください。ユーザーは、電子メール、インターネット、および時間追跡システムにアクセスするための専用マシンを共有する必要があります。

これに関するコメントやアドバイスを事前にありがとう。

24
iainlbc

NATとファイアウォールは、互いに何の関係もない完全に直交する概念です。 some NAT実装は誤ってsomeファイアウォールを提供するため、NATがセキュリティを提供するという永続的な神話があります。noセキュリティをまったく提供します。なし。ゼロ。

たとえば、完全に妥当なNAT実装では、クライアントが1つしかない場合、すべてのインバウンドTCPおよびUDPパケットをその1つのクライアントに転送します。クライアントがNATデバイスの外部アドレスを持っている場合とまったく同じです。

ほとんどのNATデバイスには、設計によりファイアウォールが組み込まれているか、誤って一部のファイアウォールを使用しているため、NAT自体がセキュリティを提供します。 NATではなくセキュリティを提供するファイアウォールNATの目的は、物事を機能させることです。

NATデバイスの背後にあるという理由だけで、マシンが外部からアクセスできないと想定しないでください。一部のデバイスが外部からのアクセスを許可しないように特別に構成されている場合は、外部からアクセスできません。デバイスはNATかどうかを示します。

外部アドレスはあるが、適切に構成、管理、および監視されるステートフルファイアウォールを備えたすべてのマシンは、安価なSoHo NATボックスよりもvastly優れています。

多くの実際のソーホーNATボックスは、内部ホストが転送されたトラフィックのソースにトラフィックを送信したことがないにもかかわらず、内部ホストにトラフィックを転送します。寛容なNATは実際に存在します。

54
David Schwartz

大学で/ 16ネットブロックを使用して7年間過ごし、特にネットブロック上に置くことを禁止されていなかったすべてのもの(PCI-DSSはこれを修正するまでこれを必要としていました)を使用したので、ネットワークに関するいくつかの経験があります。この性質の。

NATは必要ありません。すべてのNATは、ネットワークの再調整を少し難しくし、エンティティをデフォルトでより安全な姿勢にします。つまり、安全なネットワークを構築することは完全に可能ですパブリックIPアドレス上。技術的にルーティング可能なサブネットがいくつかありましたが、境界ファイアウォールの外側には到達できませんでした。

今、あなたの他のポイントのために:

IT部門に依頼してください。既存のファイアウォールがどこにあっても、WANアクセス可能な各IPへのすべての着信トラフィックをブロックします

これはデフォルトで行われるべきです。私の古い大学では、Student Computer Labステーションはインターネットからアドレス指定できる必要はありませんでした。 Student Health Centerデータを保持するサブネットについても同様です。なんらかの理由でマシンを外部から見えるようにする必要がある場合は、許可する前に電子文書を渡して署名する必要がありました。一元化されたITスタック内のサーバーについてもです。

部門のLANをインターネットから完全に分離してください。ユーザーは、電子メール、インターネット、および時間追跡システムにアクセスするための専用マシンを共有する必要があります。

ここまで行く必要はありません。ここまで行く理由は、マルウェア関連の情報漏えいの恐れがネットワークベースのリソースへの接続の必要性よりも高い場合です。昨今、物事はますますクラウド/ネットワークベースになっているため、そのようなエアギャップネットワークは維持管理がますます難しくなっています。本当にこの程度に移動する必要がある場合は、アプリケーション仮想化オプションのいくつかを調べてみてください。これにより、違反が発生した場合の露出を制限できます。

14
sysadmin1138

他の人が指摘したように、NAT これはセキュリティ機能ではありません。ただし、副産物としてある程度のセキュリティを提供します。NATの副作用は、「外部から」内部マシンにアクセスできないことです。同じ効果は、すべての着信接続をブロックするファイアウォールによって実現できます。これはきめ細かいものではありませんが、実際にはかなり効果的です。NATに「自動」保護が備わっていなければ、より多くの既存のネットワークが攻撃され、スパムリレーにゾンビ化されます(これは恐ろしい点です)ちなみに、IPv6について:IPv6は、[広く]展開された場合、NATの保護効果を無効にする傾向があり、攻撃の成功率の平均的な増加が期待できます)。

ファイアウォールが適切に構成されていると、ファイアウォールを構成する人は誰でも正しく機能することが想定されますが、残念ながらそれは与えられていません(特定のIT部門の能力を推測するのではなく、特に大規模な組織では、世界中のIT部門はスリル満点です。もう1つの方法は、パブリックにアクセスできるすべてのマシンが着信接続に関連するあらゆる種類の攻撃に抵抗できるようにすることです。不要なサービスをすべて閉じ、開いたままのサービスが適切に最新で適切に構成されていることを確認してください。すべてのワークステーションにセキュリティアップデートを適用したいですか?そして、ネットワーク対応プリンタのファームウェアはどうですか?

私のアドバイスは、独自のフィルターボックスをインストールすることです。これにより、ネットワークと外界との間のすべての通信が行われます。そのボックスは、着信接続をフィルターで除外する必要があります。 NATまたはファイアウォール、あるいはその両方です。 NATは、特にIT部門が「非協力的」である場合に、より簡単になる場合があります。

12
Tom Leek
8
symcbean

NATはセキュリティレイヤーとして重要ではなく、セキュリティを提供するとは考えないでください(それが誤ってより安全になった場合でも)。

HIPPAへの準拠については知りませんが、PCIへの準拠には、クレジットカード情報にアクセスするコンピューターに対して非常に具体的な設定が必要です。最初にHIPPA要件を満たすように設計してから、追加のセキュリティ対策を設計する必要があります。 PCIコンプライアンスの冗談は、コンプライアンスが罰金のリスクを軽減するということですが、必ずしもセキュリティ攻撃のリスクを軽減するわけではありません。

HIPPAルールは、HIPPAデータにアクセスできるコンピューターをどのように処理する必要があるかを通知する場合があります。

7
Bradley Kreider

私はNATとポート転送について少し知っていますが、David Schwartzが書いたことのほとんどに同意しません。それは彼が少し無礼だったからかもしれません私の答えの2番目の段落を読んでください

NATはすべてに対する答えではありません。外部の関係者がサービスに接続するのを難しくするだけです。ほとんどのNAT実装はポートごとに変換を行い、着信パケットのホストが認識されない場合、NAT従うべきルールがないため、拒否されますこれにより、サーバークライアントに接続するために接続しただけで、まだいくつかの穴が残っています。

より重要なのは、外部接続だけでなく内部接続からも自分を保護することです。 NATは、このようにして誤ったセキュリティを提供します。USBスティックからのバグは1つだけ必要であり、接続を転送して全員を許可することができます。

IPスペースに関係なく、接続を許可されたものに制限する必要があります。ワークステーションは通常、SQLサービスへの接続を許可されるべきではありません。個人的には、ステートフルなファイアウォールは好きではありませんが、それぞれが独自のファイアウォールを好みます。私はルータータイプの人ですすべてのパケットをドロップしてください

4
Antti Rytsölä

NATに関するこのスレッドのすべての応答は、NATの重要な側面を無視します。NATの実装は、内部のプライベートを作成しますルーティング不可アドレス範囲。「ルーティング不可」という用語は重要です。ハッカーは組織のネットワークデータストリームを引き出すことを好み、パブリックアドレス範囲でローカルの内部ネットワークトラフィックを操作することは、多層防御の概念全体が非常に重要であることを意味しますなぜanyoneはローカルトラフィックをグローバルインターネットにルーティングできるようにする条件を作成したいのですか?簡単にするために、悪意のある攻撃者がデバイスをハッキングしてルートを追加する可能性があります-なぜあなたは与える内部ネットワークのデータストリームをバックホールするために、そのような個別のハードルが1つ少なくなりますか?

別の言い方をすれば、HIPAA違反から訴訟が発生した場合、どのlunaticが法廷に立ち、ハッカーに機密情報への直接のフライトを提供することが賢明な決定であると宣誓することができますか?自宅のワイヤレスルーターメーカーは、法定により、「確かに-サイコロを振る...私たちが事件を擁護する10年間の法的予算を削減する必要があるため、慣習的なデフォルトとしてNAT個人の住宅用システムを無数の世帯に(基本的に)ズボンを足首の周りに置いたままにしておきます」

適切な静的または動的NATまたはPATをベストプラクティスとして構成するための時間が取れない、または時間を取らないため、実装を言い訳するだけの人が多すぎると思います。不必要なあざけりを避けてください- jail連邦基準を無視して時間。連邦医療保険を受け入れる場合、NISTの最小値はrequiredです。特定の技術異常値についてのエレガントな例外については、必要なすべてについて議論してください。だれでも、環境をより脆弱にするのは良い考えです。仮説は別として、正しいことを行うdoesより多くの時間と労力がかかります...しかし、正しいことを選ぶのが最善の場合があります。

1

NATはファイアウォールです。そしてそれは意見ではありません。それは事実です。ファイアウォールの定義を調べます。

ファイアウォールは、「2つ以上のネットワーク間の境界を強制するシステムまたはシステムの組み合わせ」です。

National Computer Security Associationの標準ファイアウォール機能概要テンプレート

A NATは、まさにそのような境界を作成します。

他のファイアウォールが提供する可能性があるのは、着信接続だけでなく、発信接続をブロックする機能です。素晴らしい機能ですが、主な機能ではありません。

機能について言えば、DMZはネットワーク間の穴です。通常、内部サービスをインターネットに公開する方法を提供します。技術的にはNAT =定義、それは現代のすべてのNATの機能です

NATはファイアウォールであり、状況によっては最良のものです。 NATを実行しないステートフルインスペクションファイアウォールは、主に「フェールオープン」を実行します。私は「次世代ファイアウォール」の会社で開発者として働いていました。プロトコル/アプリケーションの検出をインラインで実行するには、一部のパケットが検出されるまで通過する必要がありました。遅延を導入することなく、それをバッファリングする方法はありませんでした。ほとんどすべてのDPIソリューションはそのように機能します。

一方、NATはクローズに失敗します。よくある間違いは、インターネットからのアクセスを開くのではなく、インターネットへのアクセスを遮断することです。

1
VP.

あなたの質問に関して、「悪臭を放ちますか?」リスク評価(問題、確率、影響、緩和)を文書化し、利害関係者に提示することをお勧めします。連絡せずに孤独な決断を下し、重大な違反がある場合、それはあなたにとって不十分な前兆になるかもしれません。

0
gatorback