Quelle est l'importance de NAT comme couche de sécurité?
J'ai signé pour aider un département à déplacer des bâtiments et à mettre à niveau leur infrastructure désuète. Ce département compte environ 40 employés, 25 postes de travail, un ancien serveur Novell et une poignée de machines de traitement de laboratoire avec des systèmes connectés. À l'ancien emplacement, ce département avait deux réseaux - un réseau local sans aucun accès extérieur sur un commutateur entièrement séparé, et quelques machines avec accès extérieur.
Nous essayons de moderniser un peu cette configuration car presque tous les utilisateurs ont besoin d'accéder au courrier électronique et au système de suivi du temps.
L'organisation mère (~ 10 000 employés) dispose d'un grand service informatique qui est en charge de la connexion et du système téléphonique sur le nouvel emplacement hors site. Le département informatique. avait inversé et configuré un VPN sur leur réseau central. Chaque bureau doit être enregistré dans le système/site Web du département informatique pour obtenir une adresse IP (statique). Chaque adresse IP donnée est accessible à l'extérieur sur n'importe quel port disposant d'un service d'écoute sur la machine cliente.
Le serveur contient des données confidentielles (HIPPA), les bureaux ont mappé des lecteurs réseau pour accéder à (certaines) de ces données. Un LIS client/serveur est également en place.
Ma question est la suivante: vaut-il la peine de penser que toutes ces machines sont accessibles à l'extérieur?
Devrions nous:
- Demande NAT d'abstraire l'extérieur de l'intérieur, ainsi qu'un pare-feu qui bloque tout le trafic non explicitement défini comme autorisé? Si oui, quel argument puis-je faire pour NAT/pare-feu qui l'emportent sur les avantages d'entre eux ayant chaque machine enregistrée dans leur système? Je relayerais toutes les demandes informatiques des utilisateurs finaux au service informatique dans les deux cas - il ne semble donc pas très nécessaire de les attacher à des adresses spécifiques dans leur système. Plus important encore, cela ressemble à un cauchemar de gérer des pare-feu distincts sur chaque bureau (plates-formes/générations variables) et sur le serveur.
- Demandez le service informatique. bloquer tout le trafic entrant vers chaque IP accessible Wan sur tous les pare-feu existants qu'ils ont en place
- Gardez les départements LAN complètement isolés d'Internet. Les utilisateurs doivent partager des machines dédiées pour accéder au courrier électronique, à Internet et au système de suivi du temps.
Merci d'avance pour tout commentaire ou conseil à ce sujet.
Le NAT et le pare-feu sont des concepts complètement orthogonaux qui n'ont rien à voir l'un avec l'autre. Parce que certains NAT fournissent accidentellement certains pare-feu, il existe un mythe persistant selon lequel NAT fournit la sécurité) . Il fournit non la sécurité que ce soit. Aucun. Zéro.
Par exemple, une implémentation NAT parfaitement raisonnable pourrait, si elle n'avait qu'un seul client, transmettre tous les paquets entrants TCP et les paquets UDP à ce client. L'effet net serait exactement la même chose que si le client avait l'adresse externe du périphérique NAT.
Ne pensez pas que parce que la plupart des appareils NAT ont un pare-feu intégré par conception ou en font par accident que cela signifie NAT lui-même fournit une sécurité. Il est le pare-feu qui fournit la sécurité, pas le NAT. Le but de NAT est de faire fonctionner les choses.
Vous ne devez pas supposer qu'une machine n'est pas accessible de l'extérieur simplement parce qu'elle se trouve derrière un appareil NAT. Elle n'est pas accessible de l'extérieur si un appareil est spécifiquement configuré pour ne pas lui permettre d'accéder de l'extérieur, que ce soit l'appareil ne NAT ou non.
Chaque machine ayant une adresse extérieure mais avec un pare-feu dynamique correctement configuré, géré et surveillé est largement supérieure à une boîte SoHo NAT NAT) bon marché.
De nombreuses boîtes SoHo NAT transmettent le trafic vers les hôtes internes bien qu'aucun hôte interne n'ait jamais envoyé de trafic vers la source du trafic transféré. Permissif NAT existe vraiment).
Après avoir passé 7 ans dans une université avec un netblock/16 et mettre tout sur ce netblock qui n'était pas spécifiquement interdit d'être sur de tels (PCI-DSS exigeait cela, jusqu'à ce qu'ils le corrigent), j'ai une certaine expérience avec les réseaux de cette nature.
NAT n'est pas requis. Tout NAT fait est de rendre un peu plus difficile la reconnaissance d'un réseau et force une entité dans une position plus sécurisée par défaut. Cela dit, il est parfaitement possible de construire un réseau sécurisé sur les adresses IP publiques. Il y avait quelques sous-réseaux que nous avions qui étaient techniquement routables, mais rien en dehors du pare-feu de périmètre ne pouvait y arriver.
Maintenant pour vos autres points:
Demandez le service informatique. bloquer tout le trafic entrant vers chaque IP accessible Wan sur tous les pare-feu existants qu'ils ont en place
Cela devrait être fait par défaut. Dans mon ancienne université, les stations Student Computer Lab n'avaient pas besoin d'être adressables depuis Internet et elles ne l'étaient pas. Il en va de même pour les sous-réseaux contenant les données du Student Health Center. Si une machine devait être visible de l'extérieur pour une raison quelconque, il y avait un document électronique qui devait être distribué et signé avant de pouvoir être accordé; même pour les serveurs de la pile informatique centralisée.
Gardez les départements LAN complètement isolés d'Internet. Les utilisateurs doivent partager des machines dédiées pour accéder au courrier électronique, à Internet et au système de suivi du temps.
Vous n'avez pas besoin d'aller aussi loin. La raison pour aller si loin est que votre crainte d'une exposition d'informations liée aux logiciels malveillants soit supérieure au besoin de connectivité aux ressources réseau. Les choses sont de plus en plus basées sur le cloud/réseau ces jours-ci, de sorte que ces réseaux air-gap sont de plus en plus difficiles à entretenir. Si vous avez vraiment besoin d'aller dans cette mesure, vous voudrez peut-être examiner certaines des options de virtualisation des applications, car cela peut limiter l'exposition des violations si elles se produisent.
Comme d'autres l'ont souligné, NAT n'est pas une fonction de sécurité. Cependant, il offre un certain niveau de sécurité en tant que sous-produit: un effet secondaire de NAT est qu'aucune machine interne n'est accessible "de l'extérieur". Le même effet peut être obtenu par un pare-feu qui bloque toutes les connexions entrantes. Ce n'est pas fin, mais plutôt efficace en pratique, et si NAT ne venait pas avec cette protection "automatique", beaucoup plus de réseaux existants seraient attaqués et zombifiés en relais de spam (c'est d'ailleurs le point effrayant à propos d'IPv6, d'ailleurs: IPv6, quand [si] largement déployé, aura tendance à annuler l'effet de protection du NAT, et on peut s'attendre à une augmentation moyenne du succès des attaques).
Maintenant, avoir un pare-feu bien configuré suppose que celui qui configure le pare-feu fasse son travail correctement, et, malheureusement, ce n'est pas acquis (je ne veux pas présumer des capacités de votre service informatique spécifique, mais de la qualité moyenne du travail de Les services informatiques du monde entier, en particulier dans les grandes organisations, ne sont pas passionnants). L'alternative étant de garantir que chaque machine accessible au public résiste à toutes sortes d'attaques liées aux connexions entrantes: fermez tous les services inutiles, assurez-vous que les services qui restent ouverts sont correctement mis à jour et bien configurés. Envie d'appliquer des mises à jour de sécurité sur chaque poste de travail? Et sur le firmware des imprimantes réseau?
Mon conseil serait d'installer votre propre boîtier de filtre, à travers lequel passeront toutes les communications entre votre réseau et le monde extérieur. Cette boîte devrait alors filtrer les connexions entrantes; NAT et/ou pare-feu, c'est votre appel. NAT peut être plus facile, surtout si le service informatique est "peu coopératif").
Concernant le masquage (par opposition au NAT statique):
Cisco
Sans
- '... une excellente première couche de défense ... peut encore être piratée. Mais maintenant, le pirate doit compromettre l'un de vos systèmes internes pour l'utiliser comme tête de pont sur votre réseau local'
(Daniel Crider, SANS Institute, Salle de lecture InfoSec, 2001-11-22, Une défense à 6 couches pour un réseau domestique professionnel des TI, page 5)
[~ # ~] ibm [~ # ~]
Non, ce n'est pas un subsitute pour un pare-feu, ni pour d'autres parties de votre solution de sécurité. Il améliore l'intégrité de vos systèmes.
Le NAT n'est pas important en tant que couche de sécurité et ne doit pas être considéré comme fournissant une quelconque sécurité (même s'il le rend par inadvertance plus sûr).
Je ne connais pas la conformité HIPPA, mais la conformité PCI nécessite des configurations très spécifiques pour les ordinateurs ayant accès aux informations de carte de crédit. Vous devez d'abord concevoir en respectant les exigences HIPPA, puis concevoir des mesures de sécurité supplémentaires. La plaisanterie de la conformité PCI étant que la conformité réduit le risque d'amendes, mais pas nécessairement le risque d'exploits de sécurité.
Les règles HIPPA peuvent vous informer de la façon dont vous devez traiter les ordinateurs qui ont accès aux données HIPPA.
Même si je connais un peu les NAT et les transferts de port, je suis en désaccord avec la plupart de ce que David Schwartz a écrit. C'est peut-être parce qu'il était un peu impoli Lisez le deuxième paragraphe de ma réponse.
NAT n'est pas la réponse à tout. Cela rend simplement difficile pour les parties externes de se connecter à vos services. La plupart des implémentations NAT effectuent la conversion port par port et si l'hôte dans le paquet entrant n'est pas reconnu, il n'y aura pas de règles NAT à suivre, donc refusées). Cela laisse encore quelques trous avec le client du serveur qui vient de se connecter pour se reconnecter.
Le plus important est de vous protéger des connexions internes et externes. NAT fournit une fausse sécurité de cette façon. Vous n'avez besoin que d'un bogue d'une clé USB et il pourrait y avoir un transfert de connexion permettant à tout le monde d'entrer.
Quel que soit votre espace IP, vous devez limiter les connexions à celles autorisées. Les postes de travail ne doivent généralement pas être autorisés à se connecter au service SQL. Personnellement, je n'aime pas les pare-feu avec état, mais chacun son propre. Je suis plutôt du genre type de routeur laissez tomber tous les paquets.
Chaque réponse sur ce fil concernant NAT néglige un aspect important du NAT. L'implémentation de NAT crée un interne, privé, plage d'adresses non routable . Le terme "non routable" est important. Les pirates informatiques adorent exfiltrer les flux de données réseau d'une organisation et fonctionner avec votre trafic réseau interne local sur une plage d'adresses publiques signifie toute la notion de défense en profondeur est considérablement diminuée. Pourquoi quelqu'un voudrait-il créer des conditions qui permettent à votre trafic local d'être acheminé vers l'Internet mondial ? Pour rendre les choses aussi faciles, un attaquant malveillant pourrait pirater l'appareil et ajouter des routes - mais pourquoi voudriez-vous donner un tel obstacle de moins pour relancer vos flux de données réseau internes?
Autrement dit, en cas de litige résultant d'une violation de la HIPAA, ce qui fou pourrait prendre n'importe quelle salle d'audience et jurer sous serment que donner à un pirate un vol direct vers votre une information sensible était une décision sensée? Les fabricants de routeurs sans fil à domicile cesseraient-ils NAT par défaut habituel parce que leur légal leur dit: "Bien sûr - Lancez les dés ... Nous devrions brûler notre budget légal pour la décennie en défendant un cas où nous mettre les systèmes résidentiels personnels dans d'innombrables ménages dans un état qui laisse (essentiellement) leur pantalon collectif tombé autour de leurs chevilles! "
Je soupçonne qu'il y en a trop qui veulent simplement excuser l'implémentation car ils ne peuvent pas ou ne prendront pas le temps de configurer une bonne statique ou dynamique NAT ou PAT comme meilleure pratique. S'IL VOUS PLAÎT éviter le ridicule inutile et emprisonner le temps en ignorant les normes fédérales. Si vous acceptez une assurance médicale fédérale, les minimums NIST sont requis . Débattez des exceptions élégantes pour une valeur technologique donnée tout ce que vous voulez, mais ne donnons à personne l'impression que c'est une bonne idée de rendre un environnement plus vulnérable. À part les hypothèses, faire les bonnes choses prend plus de temps et d'efforts ... mais il y a des cas où la bonne chose est le meilleur choix.
NAT est un pare-feu. Et ce n'est pas une opinion. C'est un fait. Examiner la définition du pare-feu:
Un pare-feu est "un système ou une combinaison de systèmes qui impose une frontière entre deux réseaux ou plus".
modèle de résumé fonctionnel du pare-feu standard de la National Computer Security Association
A NAT crée exactement ce type de frontière.
Ce que d'autres pare-feu fournissent peut-être, c'est la possibilité de bloquer les connexions sortantes, pas seulement les connexions entrantes. Belle fonctionnalité, mais pas la principale.
En parlant de fonctionnalités, un DMZ est un trou entre les réseaux. Normalement, il fournit un moyen d'exposer un service interne à Internet. Bien qu'il ne fasse pas techniquement partie du NAT = définition, c'est une caractéristique de tous les NAT modernes
NAT est un pare-feu et dans certaines situations, le meilleur. Les pare-feu d’inspection avec état, qui ne font pas de NAT, sont généralement ouverts en cas de défaillance. J'ai travaillé pour une entreprise de "pare-feu nouvelle génération" en tant que développeur. Pour effectuer la détection de protocole/application en ligne, certains paquets devaient passer jusqu'à ce qu'ils soient détectés. Il n'y avait aucun moyen de le tamponner, sans introduire de retard. Presque toutes les solutions DPI fonctionnent comme ça.
NAT, d'autre part, échoue fermé. Les erreurs courantes bloquent l'accès à Internet plutôt que d'ouvrir l'accès à partir d'Internet.
En ce qui concerne votre question "devrais-je faire une puanteur?" Je suggérerais qu'une évaluation des risques (problème, probabilité, impact, atténuation) soit documentée et présentée aux intervenants. Si vous prenez une décision seule sans la communiquer et qu'il y a une violation importante, cela pourrait de mauvais augure pour vous.