Question:
Quelle est l'importance du NAT en tant que couche de sécurité?
iainlbc
2011-11-09 09:29:34 UTC
view on stackexchange narkive permalink

Je me suis inscrit pour aider un service à déplacer des bâtiments et à mettre à niveau son infrastructure désuète. Ce département compte environ 40 employés, 25 postes de travail, un ancien serveur Novell et une poignée de machines de traitement de laboratoire avec des systèmes connectés. À l'ancien emplacement, ce service disposait de deux réseaux - un réseau local sans accès extérieur que ce soit sur un commutateur entièrement séparé et quelques machines avec accès extérieur.

Nous essayons de moderniser un peu cette configuration car à peu près tous les utilisateurs ont besoin d'accéder à leurs e-mails et au système de suivi du temps.

L'organisation mère (~ 10 000 employés) dispose d'un grand service informatique qui est en charge de la connexion et du système téléphonique au nouvel emplacement hors site. Le département informatique. avait uverse et installé un VPN sur leur réseau central. Chaque poste de travail doit être enregistré dans le système / site Web du service informatique pour obtenir une adresse IP (statique). Chaque adresse IP donnée est accessible à l'extérieur sur n'importe quel port disposant d'un service à l'écoute sur la machine cliente.

Le serveur contient des données confidentielles (HIPPA), les ordinateurs de bureau ont des lecteurs réseau mappés pour accéder à (certaines) de ces données. Un LIS client / serveur est également en place.

Ma question est la suivante: cela vaut-il la peine de faire une puanteur que toutes ces machines soient accessibles à l'extérieur?

Devrions-nous:

  • Demander un NAT pour extraire l'extérieur de l'intérieur, ainsi qu'un pare-feu qui bloque tout le trafic non explicitement défini comme autorisé? Si tel est le cas, quel argument puis-je faire valoir pour le NAT / pare-feu qui l'emporte sur les avantages d'avoir chaque machine enregistrée dans leur système? Je relayerais toutes les demandes liées aux TI des utilisateurs finaux au service informatique dans les deux cas - il ne semble donc pas très nécessaire de les associer à des adresses spécifiques dans leur système. Plus important encore, cela ressemble à un cauchemar de gérer des pare-feu séparés sur chaque bureau (différentes plates-formes / générations) et sur le serveur.
  • Demandez le service informatique. bloquez tout le trafic entrant vers chaque IP accessible au WAN sur les pare-feu existants qu'ils ont en place
  • Gardez le réseau local des départements complètement isolé d'Internet. Les utilisateurs doivent partager des machines dédiées pour accéder au courrier électronique, à Internet et au système de suivi du temps.

Merci d'avance pour tout commentaire ou conseil à ce sujet.

C'est une bonne question sur laquelle les gens sont généralement confus. Personnellement, j'aime NAT uniquement à des fins organisationnelles, pas tant pour la sécurité. Si vous regardez IPv6, il n'y a vraiment pas de NAT. Il vous suffit de définir la valeur par défaut pour refuser sur le pare-feu et partir de là.
Il est peu probable qu'ils l'aient configuré comme vous le pensez. Vous venez probablement d'être suspendu à leur réseau principal et tout votre Internet passe maintenant par eux via le nouveau VPN. Bien que les PC soient accessibles par eux via le VPN à partir de leurs adresses internes, un accès extérieur réel depuis Internet n'est pas possible. Le pare-feu se trouve dans le siège social.
Si la conformité HIPAA est quelque chose comme PCI, je suppose qu'il y a là-dedans un élément sur la ségrégation des réseaux vous permettant de séparer les réseaux conformes HIPAA, d'un réseau standard.
Neuf réponses:
David Schwartz
2011-11-09 09:41:22 UTC
view on stackexchange narkive permalink

NAT et pare-feu sont des concepts complètement orthogonaux qui n'ont rien à voir l'un avec l'autre. Parce que certaines implémentations NAT fournissent accidentellement certains pare-feu, il existe un mythe persistant selon lequel NAT assure la sécurité. Il n'offre aucune sécurité. Aucun. Zéro.

Par exemple, une implémentation NAT parfaitement raisonnable pourrait, si elle n'avait qu'un seul client, transmettre tous les paquets TCP et UDP entrants à ce client. L'effet net serait exactement le même que si le client avait l'adresse externe du périphérique NAT.

Ne pensez pas que parce que la plupart des périphériques NAT ont un pare-feu intégré par conception ou en font par accident que cela signifie que NAT lui-même fournit une sécurité. C'est le pare-feu qui assure la sécurité, pas le NAT. Le but du NAT est de faire fonctionner les choses.

Vous ne devez pas supposer qu'une machine n'est pas accessible à l'extérieur simplement parce qu'elle se trouve derrière un périphérique NAT. Il n'est pas accessible à l'extérieur si un appareil est spécifiquement configuré pour ne pas lui permettre d'être accessible de l'extérieur, que cet appareil fasse du NAT ou non.

Chaque machine ayant une adresse externe mais avec un pare-feu avec état correctement configuré , géré et surveillé est largement supérieur à un boîtier SoHo NAT bon marché.

De nombreux boîtiers NAT SoHo réels transfèrent le trafic vers les hôtes internes même si aucun hôte interne n'a jamais envoyé de trafic à la source du trafic réexpédié. Le NAT permissif existe vraiment.

Bonne réponse. Toute sécurité perçue fournie par NAT est un effet secondaire purement involontaire de la RFC1918. NAT n'est pas un mécanisme de sécurité, c'est un mécanisme de traduction. Il peut résumer ou obscurcir les systèmes derrière lui, mais il ne fournit pas de sécurité pour ces systèmes.
Je comprends qu'il existe une différence entre le NAT et les pare-feu. Je ne sais pas où ma question vous a semblé autrement. "Demander NAT pour extraire l'extérieur de l'intérieur, ainsi qu'un pare-feu qui bloque tout le trafic non explicitement défini comme autorisé?" Cela ne signifie-t-il pas que je comprends cela? Le NAT, par nature, qui consiste à extraire les adresses internes des adresses accessibles à l'extérieur fournit une sécurité à mon avis. Comment quelqu'un, par exemple, peut-il forcer brutalement un compte SQL Server sa sur un hôte auquel il ne peut pas accéder, car l'adresse n'est pas accessible / routable publiquement?
@iainlbc Je suis entré dans quelques détails sur NAT, l'isolation du réseau et la posture de sécurité ici: http://serverfault.com/questions/184524/switch-to-ipv6-and-get-rid-of-nat-are-you-kidding / 184535 # 184535
@DavidSchwarts "Vous ne devez pas supposer qu'une machine n'est pas accessible à l'extérieur simplement parce qu'elle est derrière un périphérique NAT." pourtant sysadmin1148 dit dans sa réponse liée "Le seul grand gain de sécurité que vous obtenez avec NAT est qu'il vous oblige à une configuration de refus par défaut. Afin d'obtenir n'importe quel service à travers lui, vous devez explicitement percer des trous." Alors, est-il prudent de supposer que, à moins que je ne perde un trou dans la configuration NAT par défaut permettant exactement ce que je veux empêcher, NAT fournit une mesure de sécurité?
@iainlbc: Si par "NAT" vous entendez "NAT lui-même", alors * non *. NAT n'offre aucune sécurité du tout. Encore une fois, lisez le deuxième paragraphe de ma réponse. Si par "NAT" vous entendez une boîte qui fournit NAT et aussi un pare-feu, alors * oui *. Les pare-feu assurent la sécurité. Le mot «refus par défaut» est techniquement vrai, mais sans signification. * Everything * fournit un refus par défaut dans ce sens idiot et vide car il vous est expédié débranché.
Je pense que nous nous rapprochons de moi pour comprendre cela. Pardonnez mon entêtement .. Disons que j'ai un seul serveur exécutant SQL sur 1433. Je le connecte directement à un routeur avec une adresse IPV4 publique. Vous pouvez le frapper de n'importe où et essayer le mot de passe. Maintenant, je place ce serveur derrière le périphérique NAT le plus simple jamais créé et je lui donne l'adresse 192.168.10.1. Je ne fais rien pour empêcher ou autoriser le trafic sur 1433 sur un pare-feu ou sur le périphérique nat. Comment allez-vous accéder à ma machine, une fois derrière nat, sur le port 1433, pour tenter le mot de passe, n'ayant que l'adresse des routeurs?
@iainlbc: Je vais frapper le port 1433 sur l'adresse IP publique de la boîte NAT, et il la transmettra au serveur SQL (puisque le serveur SQL est son seul client, il sait que ce doit être le destinataire prévu). Sinon, c'est parce que c'est aussi un pare-feu, auquel cas il le filtrera / le supprimera. Mais ce n'est pas à cause du NAT, c'est à cause de son pare-feu qui rejette les paquets entrants qui ne correspondent pas à une règle réflexive existante même s'il pourrait les NAT. En d'autres termes, parce que c'est * aussi * un pare-feu, il offre une certaine sécurité. Un pare-feu simple qui lâchait le trafic fournirait la même sécurité - n'est-ce pas?
Le but du NAT est de faire «fonctionner les machines» même si les adresses IP publiques sont insuffisantes pour elles. En raison de la façon dont NAT est généralement implémenté, les boîtiers NAT ont également tendance à implémenter un pare-feu. Mais un pare-feu ferait la même chose et offrirait les mêmes avantages. Le NAT est superflu à la sécurité. Si vous désactivez le NAT mais gardez le pare-feu réflexif et dynamique, vous obtiendrez la même sécurité. Et une boîte NAT sans pare-feu réflexif et dynamique ne fournirait aucune sécurité. (Et il y a certainement des périphériques NAT `` permissifs '' qui fournissent * très * peu!)
Je pense que j'ai besoin d'une bonne recommandation de livre sur les réseaux / sécurité. Je pense aussi que j'utilise nat pour faire référence à une autre technologie ou qu'il me manque un concept extrêmement fondamental ici. Donc, un routeur et un pare-feu sont tout ce qui est nécessaire pour créer un réseau privé de par exemple 192.168.10.1 - 192.168.10.250, qui peut accéder et communiquer avec des réseaux extérieurs, avec une seule interface extérieure de, disons 10.1.1.1?
laissez-nous [continuer cette discussion dans le chat] (http://chat.stackexchange.com/rooms/1749/discussion-between-david-schwartz-and-iainlbc)
Si vous gardez les sockets pour l'accès public fermées, c'est-à-dire pour votre serveur SQL, vous êtes en sécurité avec NAT. Mais ce serait le cas même si le serveur SQL a une adresse IP publique. Le NAT est, comme on l'a dit, un mécanisme. Vos paramètres fw sont votre sécurité. Cependant, la plupart des logiciels NAT vous offrent un comportement d'exécution de plug-in par défaut. Je pense qu'IPv6 nous donnera plus de cette nature par défaut pour l'adressage public.
"fournir accidentellement un pare-feu" - pas d'accord. Alors que les mappages statiques offrent peu de protection, le masquage est explicitement destiné à résoudre les deux problèmes de réduction de l'encombrement de l'espace d'adressage, mais agit intrinsèquement comme un pare-feu avec état. A convenu que ce n'est pas un substitut à un pare-feu.
@symcbean: Il n'agit pas intrinsèquement comme un pare-feu avec état à moins qu'il ne soit conçu / configuré pour. Dans ce cas, c'est cette conception / configuration qui est le pare-feu, pas la partie NAT. Lisez mon deuxième paragraphe. J'ai vu des boîtes NAT masquées qui transfèrent le trafic qui n'est pas une réponse. (Voir mes deuxième et dernier paragraphes.)
@David Schwartz: "masquer les boîtes NAT qui transmettront le trafic qui n'est pas une réponse" - à mon humble avis, c'est un oxymore - par définition, l'appareil ne se fait pas passer. Comment sait-il à quelle boîte interne envoyer le trafic?
@symcbean: Il existe de nombreuses façons de le savoir. Par exemple, il peut n'avoir qu'un seul client. Il peut le transmettre au nœud interne qui a envoyé le trafic "le plus similaire" même si le paquet n'est pas une réponse.
Citation @David Schwartz: s'il vous plaît?
@symcbean: Pour quoi exactement voulez-vous une citation? Pensez-vous que ces choses sont impossibles? Pensez-vous qu'ils font en quelque sorte que l'appareil cesse de se faire passer pour un appareil photo? (Si vous pensez qu'aucun périphérique ne le fait réellement, consultez la documentation de presque tous les routeurs SoHo. Par exemple, le NetGear WGR614.) Le NAT permissif est réel, et il est populaire. Cela fait que beaucoup de choses "fonctionnent simplement", ce qui est le but du NAT.
@David Schwartz: Les scénarios que vous décrivez, à ma connaissance, sont ceux où le routeur cesse d'effectuer le masquage. Je suis toujours prêt à apprendre, mais là où on me donne des informations qui contredisent explicitement ce que je sais déjà, je veux avoir l'occasion de les vérifier.
@symcbean: C'est comme dire qu'un routeur est sécurisé à moins que vous ne le connectiez. C'est de la pure sophistique. Le fait est que vous pouvez avoir NAT (adresses IP privées, accès Internet) mais fondamentalement aucune sécurité (si, par exemple, le NAT est permissif).
@David Schwartz: Comment? Je veux toujours voir plus que votre opinion.
@symcbean Rien de ce que j'ai dit n'est une opinion. C'est un fait très simple que vous pouvez avoir NAT mais fondamentalement aucune sécurité. Lisez le deuxième paragraphe de ma réponse plusieurs fois jusqu'à ce que vous l'ayez compris.
@David Schwartz: comme ci-dessus, je suis prêt à apprendre - mais je ne trouve aucune preuve à l'appui de votre position - mais beaucoup de sources fiables indiquant le contraire - voir la réponse ailleurs.
@symcbean Je ne sais pas comment répondre à cela. Mon deuxième paragraphe est un fait simple et incontestable. Vous pouvez l'accepter ou mettre vos doigts dans vos oreilles et annoncer que vous n'écoutez pas.
@DavidSchwartz Supposons que vous ayez un routeur NAT faisant NAPT, sans redirection de port. Le routeur NAT bloque toutes les connexions entrantes. L'interface du routeur NAT n'a pas d'options de pare-feu, il n'y a rien sur un pare-feu dans la spécification. Q1) Diriez-vous que ce n'est pas le NAT ou NAPT qui le bloque, c'est un pare-feu dans l'appareil qui le bloque? Q2) Diriez-vous que c'était une sécurité accidentelle? Q3) Diriez-vous que ce n'est pas sécurisé? Pourquoi?
Q1) Probablement. Cela dépendrait précisément de la manière dont l'appareil gérait le trafic inégalé. Q2) Cela dépendra du fait que ce comportement a été explicitement spécifié par le fabricant ou par la documentation. Si non spécifié, oui. Si spécifié et garanti, non. Q3) Si vous comptez uniquement sur l'appareil pour répondre à ses spécifications documentées, c'est très bien. Si vous comptez sur l'appareil pour continuer à se comporter comme vous l'avez observé, alors ce n'est pas sécurisé. La sécurité vient de garanties, et non de comportements non documentés / observés.
"NAT n'offre aucune sécurité" Je suis totalement en désaccord.Nous avons volontairement fait du double NAT là où je travaillais, car il était pratiquement impossible de pénétrer plus loin que le premier NAT de l'extérieur (comme le déclare également Sans Institute).De plus, les connexions Internet sérieuses ont au moins un appareil DMZ configuré (dans le NAT externe), ce qui rend les analyses de port nulles et non avenues, car personne ne mettrait autre chose que des appareils avec leur propre protection / pare-feu dans une DMZ.Le double NAT est plus efficace, l'empreinte des ressources proche de zéro par rapport aux pare-feu, aux inspections avec état, etc.
@Julius Comme je l'ai expliqué dans ma réponse, le double NAT n'offre aucune sécurité.Lisez le deuxième paragraphe.
@DavidSchwartz Il échoue comme une «explication», argumenter contre ce n'est pas un bon conseil général de sécurité.Même les routeurs NAT bon marché constituent des dispositifs de sécurité réseau précieux et offrent beaucoup plus de flexibilité que le simple fait d'être utilisés pour interfacer un réseau local avec Internet.Ils peuvent être utilisés comme «soupapes de sécurité unidirectionnelles» pour créer des couches de sous-réseaux protégés.Au cours de mes 20 ans et plus d'administration de tas de réseaux multi-NAT pour les petites entreprises et les particuliers, je n'ai vu aucune intrusion à compter jusqu'à présent.Aucun des scans / vers (paresseux) et autres absurdités Internet ennuyeuses et malveillantes n'a réussi.
@Julius Si l'un de ces périphériques NAT vous a réellement bloqué contre une attaque même si vous n'avez pas configuré son pare-feu pour le faire, c'est parce que son NAT n'est tout simplement pas assez permissif pour le passer par accident ou par chance.Que se passe-t-il si la prochaine version du firmware rend le NAT plus permissif?
«Le NAT permissif existe vraiment.»Je comprends s'il s'agit d'un NAT un-à-un (comme le mappage d'un réseau `/ 24` sur un autre réseau` / 24`), mais existe-t-il un NAT permissif un-à-plusieurs?
Veuillez ignorer le commentaire ci-dessus.Il existe une chose appelée [hôte DMZ] (https://en.wikipedia.org/wiki/DMZ_ (informatique) #DMZ_host).
@FranklinYu Oui.Il existe des routeurs SOHO qui achemineront tout le trafic entrant vers l'un de leurs clients en utilisant un algorithme de «meilleure correspondance».
@DavidSchwartz C'est encore plus maléfique, mais y a-t-il un exemple pour un tel routeur?Je ne peux trouver que l'exemple d'une cible de transfert par défaut fixe (comme je l'ai mentionné ci-dessus).Je ne sais pas quel mot clé rechercher;J'ai essayé «le transfert de port de routeur soho intelligent».
@FranklinYu Pourquoi est-ce mal?Cela fait que beaucoup de choses "fonctionnent simplement" qui autrement ne fonctionneraient pas.Le but du NAT permissif est de se rendre aussi invisible que possible.Le seul sens dans lequel c'est mal est que la même chose peut fonctionner dans certaines circonstances et ne pas fonctionner dans d'autres.Si vous voulez des capacités de pare-feu, configurez-les comme vous êtes censé le faire.
sysadmin1138
2011-11-09 09:47:46 UTC
view on stackexchange narkive permalink

Ayant juste passé 7 ans dans une université avec un netblock / 16 et mis tout sur ce netblock qui n'était pas spécifiquement interdit d'être sur tel (PCI-DSS exigeait cela, jusqu'à ce qu'ils le réparent), j'ai quelques expérience avec des réseaux de cette nature.

NAT n'est pas requis. Tout ce que fait NAT est de rendre un peu plus difficile la reconnaissance d'un réseau et de forcer une entité à adopter une posture plus sécurisée par défaut. Cela dit, il est parfaitement possible de construire un réseau sécurisé sur des adresses IP publiques. Nous avions quelques sous-réseaux techniquement routables, mais rien en dehors du pare-feu de périmètre ne pouvait y accéder.

Maintenant pour vos autres points:

Demandez le service informatique dept. bloquez tout le trafic entrant vers chaque IP accessible WAN sur les pare-feu existants qu'ils ont en place

Ceci devrait être fait par défaut. Dans mon ancienne université, les stations du Student Computer Lab n'avaient pas besoin d'être adressées à partir d'Internet et elles ne l'étaient pas. Il en va de même pour les sous-réseaux contenant les données du Student Health Center. Si une machine devait être visible de l'extérieur pour une raison quelconque, il y avait un document électronique qui devait être transmis et signé avant de pouvoir être accordé; même pour les serveurs de la pile informatique centralisée.

Gardez le LAN des départements complètement isolé d'Internet. Les utilisateurs doivent partager des machines dédiées pour accéder au courrier électronique, à Internet et au système de suivi du temps.

Vous n'êtes pas obligé d'aller aussi loin. La raison d'aller aussi loin est si votre peur de l'exposition d'informations liées aux logiciels malveillants est plus élevée que le besoin de connectivité aux ressources réseau. De nos jours, les choses sont de plus en plus basées sur le cloud / réseau, de sorte que ces réseaux à vide deviennent de plus en plus difficiles à entretenir. Si vous avez vraiment besoin d'aller dans cette mesure, vous voudrez peut-être vous pencher sur certaines des options de virtualisation d'application, car cela peut limiter l'exposition aux violations si elles se produisent.

Exactement. Je gère un réseau qui utilise des adresses routables publiquement et ce n'est pas moins sécurisé en raison du manque de NAT. C'est le pare-feu qui assure la sécurité, pas le NAT.
Merci à vous deux d'avoir lu tout cela maintenant. Extrêmement heureux d'avoir demandé aux experts au lieu d'exposer au service informatique à quel point je suis mal informé sur le sujet ...
L'org. autorise le trafic sur tous les ports vers ces adresses sur la base de mes tests rudimentaires (RDP, SSH, FTP, SQL, 80), et c'est la culture depuis un certain temps maintenant. Je préfère de loin remplir explicitement les formulaires de demande de pare-feu. En fait, si cela était en place, je n'aurais probablement même pas envisagé NAT ou publier cela, j'ai juste l'impression que la configuration manque de quelque chose. Il est clair maintenant que ses règles de pare-feu - pas NAT.
"Ayant juste passé 7 ans dans une université avec un netblock / 16 et mis tout sur ce netblock qui n'était pas spécifiquement interdit d'être sur tel (PCI-DSS exigeait cela, jusqu'à ce qu'ils le réparent), j'ai une certaine expérience réseaux de cette nature. ", je suis vraiment désolé.
Travailler avec un bloc / 16 dans un uni ne garantit aucune validité des conseils de sécurité généraux contre NAT.Je ne vois vraiment pas à quel point l'obscurcissement d'un LAN (même plus d'une fois en série) pourrait jamais être * réduit * en tant que couche supplémentaire de sécurité.Sérieusement, où avez-vous tous été ces dernières décennies?Voyons ce que dit même Steve Gibson, d'accord?https://www.grc.com/nat/nats.htm
Tom Leek
2011-11-09 19:37:23 UTC
view on stackexchange narkive permalink

Comme d'autres l'ont souligné, NAT n'est pas une fonctionnalité de sécurité . Cependant, il offre un certain niveau de sécurité comme sous-produit: un effet secondaire du NAT est qu'aucune machine interne n'est accessible "de l'extérieur". Le même effet peut être obtenu par un pare-feu qui bloque toutes les connexions entrantes. Ce n'est pas précis, mais plutôt efficace dans la pratique, et si NAT ne venait pas avec cette protection «automatique», beaucoup plus de réseaux existants seraient attaqués et zombifiés en relais de spam (c'est le point effrayant d'IPv6, d'ailleurs : IPv6, lorsqu'il [s'il] est largement déployé, aura tendance à annuler l'effet de protection du NAT, et on peut s'attendre à une augmentation moyenne du succès des attaques).

Maintenant, avoir un pare-feu bien configuré suppose que celui qui configure le pare-feu fait correctement son travail, et, malheureusement, ce n'est pas acquis (je ne veux pas présumer des capacités de votre service informatique spécifique, mais de la qualité moyenne du travail des services informatiques du monde entier, en particulier en organisation, est moins que passionnant). L'alternative étant de s'assurer que chaque machine accessible au public résiste à toutes sortes d'attaques liées aux connexions entrantes: fermez tous les services inutiles, assurez-vous que les services qui restent ouverts sont correctement à jour et bien configurés. Envie d'appliquer des mises à jour de sécurité sur chaque poste de travail? Et sur le firmware des imprimantes compatibles réseau?

Mon conseil serait d'installer votre propre boîtier de filtre, à travers lequel toutes les communications entre votre réseau et le monde extérieur passeront. Cette boîte devrait alors filtrer les connexions entrantes; NAT et / ou pare-feu, c'est votre appel. Le NAT peut être plus facile, surtout si le service informatique est "peu coopératif".

symcbean
2011-11-15 16:10:07 UTC
view on stackexchange narkive permalink

Concernant le masquage (par opposition au NAT statique):

Cisco

Sans

IBM

Non, ce n'est pas un substitut pour un pare-feu, ni pour d'autres parties de votre solution de sécurité. Cela améliore l'intégrité de vos systèmes.

Bradley Kreider
2011-11-10 22:55:15 UTC
view on stackexchange narkive permalink

Le NAT n'est pas important en tant que couche de sécurité et ne doit pas être considéré comme fournissant une sécurité (même s'il le rend par inadvertance plus sécurisé).

Je ne connais pas la conformité HIPPA, mais la conformité PCI nécessite des configurations très spécifiques pour les ordinateurs ayant accès aux informations de carte de crédit. Vous devez concevoir tout d'abord pour répondre aux exigences HIPPA, puis concevoir des mesures de sécurité supplémentaires. La blague de la conformité PCI est que la conformité réduit le risque d'amendes, mais pas nécessairement le risque d'exploits de sécurité.

Les règles HIPPA peuvent vous informer de la manière dont vous devez traiter les ordinateurs qui ont accès aux données HIPPA.

Antti Rytsölä
2011-11-09 12:40:17 UTC
view on stackexchange narkive permalink

Même si je connais un peu les NAT et les transferts de port, je ne suis pas d'accord avec ce que David Schwartz a écrit. C'est peut-être parce qu'il était un peu impoli Lisez le deuxième paragraphe de ma réponse .

NAT n'est pas la réponse à tout. Cela rend simplement difficile la connexion des parties externes à vos services. La plupart des implémentations NAT effectuent une conversion port par port et si l'hôte dans le paquet entrant n'est pas reconnu, il n'y aura pas de règles NAT à suivre, donc la connexion sera refusée. Cela laisse encore quelques trous avec le client serveur qui vient de se connecter pour se reconnecter.

Le plus important est de vous protéger des connexions internes ainsi que des connexions externes. NAT fournit une fausse sécurité de cette manière. Vous n'avez besoin que d'un seul bogue d'une clé USB et il pourrait y avoir un transfert de connexion laissant tout le monde entrer.

Indépendamment de votre espace IP, vous devriez limiter les connexions à celles autorisées. Les postes de travail ne devraient généralement pas être autorisés à se connecter au service SQL. Personnellement, je n'aime pas les pare-feu avec état, mais chacun est le sien. Je suis plutôt le type de type de routeur abandonne tous les paquets.

Bien sûr, ce n'est pas une réponse à tout - surtout pas à la sécurité, car ce n'est pas une couche de sécurité (et si c'est le cas, c'est quelque peu accidentel). Je suis d'accord avec vous qu'un bon pare-feu avec des règles appropriées est nécessaire, NAT ou pas de NAT. (Je ne pense pas que vous soyez en désaccord avec cette autre réponse :))
Intéressant qu'il y ait si peu de discussions ici sur a) le risque d'un «pair» compromis, et b) les services de style Akamai disponibles pour rendre les machines inaccessibles accessibles.Google "Accès Raspberry Pi sur Internet" pour quelques-uns.Si je peux RDP à un pair, je peux exécuter des tentatives d'attaque sur le sous-réseau.
VP.
2017-01-10 22:10:20 UTC
view on stackexchange narkive permalink

NAT est un pare-feu. Et ce n'est pas une opinion. C'est un fait. Examen de la définition du pare-feu:

Un pare-feu est "un système ou une combinaison de systèmes qui impose une limite entre deux ou plusieurs réseaux."

Modèle standard de résumé fonctionnel du pare-feu de la National Computer Security Association

Un NAT crée exactement ce genre de limite.

Ce que d'autres pare-feu peuvent fournir, c'est la possibilité de bloquer les connexions sortantes , pas seulement les connexions entrantes. Belle fonctionnalité, mais pas la principale.

En parlant de fonctionnalités, une DMZ est un trou entre les réseaux. Normalement, il fournit un moyen d'exposer un service interne à Internet. Bien qu'il ne fasse pas techniquement partie de la définition NAT, c'est une fonctionnalité de tous les NAT modernes

NAT est un pare-feu et dans certaines situations, le meilleur. Les pare-feu d'inspection avec état, qui ne font pas de NAT, font pour la plupart "ouverture par défaut". J'ai travaillé pour une société "Next generation firewall" en tant que développeur. Pour effectuer la détection de protocole / application en ligne, certains paquets ont dû passer jusqu'à ce qu'ils soient détectés. Il n'y avait aucun moyen de le tamponner, sans introduire de délai. Presque toutes les solutions DPI fonctionnent comme ça.

NAT, en revanche, échoue à se fermer. Les erreurs courantes bloquent l'accès à Internet au lieu d'ouvrir l'accès à partir d'Internet.

"_Un pare-feu est" un système ou une combinaison de systèmes qui impose une limite entre deux ou plusieurs réseaux. "_" Selon cette définition, un routeur eBGP standard sans sécurité est un pare-feu car il sépare deux AS.
Genre de commentaire inutile @RonMaupin.Donc "Par définition" couper le câble impose une limite entre deux ou plusieurs réseaux.
STX Topper MCSE CEH
2019-04-28 18:34:14 UTC
view on stackexchange narkive permalink

Chaque réponse sur ce fil concernant NAT néglige un aspect important de NAT. L'implémentation de NAT crée une plage d'adresses interne, privée, non routable . Le terme «non routable» est significatif. Les pirates adorent exfiltrer les flux de données du réseau d'une organisation, et opérer avec le trafic de votre réseau interne local sur une plage d'adresses publique signifie que toute la notion de défense en profondeur est considérablement diminuée. Pourquoi quelqu'un voudrait-il créer des conditions qui permettent à votre trafic local d'être acheminé vers l'Internet mondial? Pour rendre les choses aussi simples, un attaquant malveillant pourrait pirater l'appareil et ajouter des routes - mais pourquoi voudriez-vous donner à un tel individu un obstacle de moins pour relier vos flux de données réseau internes?

En d'autres termes, si un litige venait d'une violation de la loi HIPAA, quel fou pourrait prendre la parole dans une salle d'audience et jurer sous serment que donner à un pirate un vol direct vers vos informations sensibles était un décision sensée? Les fabricants de routeurs sans fil à domicile abandonneraient-ils le NAT comme valeur par défaut habituelle parce que leur loi leur dit: «Bien sûr - Lancez les dés ... déclarent que (fondamentalement) laisse leur pantalon collectif était baissé autour de leurs chevilles! "

Je soupçonne qu'il y en a trop qui se soucient simplement d'excuser la mise en œuvre parce qu'ils ne peuvent pas ou ne prendront pas le temps de configurer un NAT ou un PAT statique ou dynamique approprié comme meilleure pratique. VEUILLEZ éviter les ridicules inutiles et les peines de prison en ignorant les normes fédérales. Si vous acceptez une assurance médicale fédérale, les minima NIST sont obligatoires . Débattez des exceptions élégantes pour une valeur aberrante donnée tout ce que vous voulez, mais ne donnons à personne l'impression que c'est une bonne idée de rendre un environnement plus vulnérable. Hormis les hypothèses, faire les bonnes choses prend plus de temps et d’efforts ... mais il y a des cas où la bonne chose est le meilleur choix.

gatorback
2016-11-10 21:20:07 UTC
view on stackexchange narkive permalink

En ce qui concerne votre question "devrais-je faire une puanteur?" Je suggérerais qu'une évaluation des risques (problème, probabilité, impact, atténuation) soit documentée et présentée aux parties prenantes. Si vous prenez une décision isolée sans la communiquer et qu'il y a une violation importante, cela pourrait être de mauvais augure pour vous.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...