Veřejná IPv4 a IPv6 a bezpečnost

[FKoudelka]

Já bych se klonil k té veřejné IP, samozřejmě s firewallem.
Static NAT 1:1 ještě jde, ale Hide NAT 1:many - to odse..ete za všechny co ji u providera sdílejí.

[Reklama]

[Vít Šesták (v6ak)]

Tak ono lze vymyslet scénář, že pomůže, že má router červenou barvu. To ale ještě neznamená, že něco takového budu reálně řešit, protože ten scénář je extrémně nepravděpodobný.

Tak pokud útok nebude veden přes prohlížeč (vizte moje posty výše) a půjde od jiného IPS (asi velká část), tak ano. Pravděpodobnost asi bude řádově vyšší než u červené barvy, a může se to hodit jako defense-in-depth. Zároveň to ale dost útoků neřeší (útoky vedené přes prohlížeč, napadené zařízení ve vnitřní síti, …), takže mi přijde rozumné se na to nespoléhat. Pokud se to člověk spolehne příliš (tj. nevezme jen jako defense-in-depth), může NAT a firewall přinést falešný pocit bezpečí, což může přinést více škody než užitku. Volně řečeno, pokud by to zabránilo polovině útoků, může to být přínos, ale nesmíme zapomenout na tu druhou polovinu. Tolik k tomu, proč to podle mého názoru někteří doporučují a jiní zatracují.

Hlavně se celou dobu bavíme o NATu u ISP. To znamená, že jste za NATem ve stejné síti s dalšími zákazníky ISP, možná se všemi.

OK, toto jsem trošku zmotal…

[Vietnanka]

NAT bezpečnost nijak nezvyšuje.

Chci se zeptat na odůvodnění této mantry opakované Filepem Jirsákem Filipa Jirsáka. Myslíš tím čistý NAT ( iptables -I -t nat -j MASQUERADE) bez dodatečného (iptables DROP ctsta te INVALID  a/nebo ACCEPT ctstate RELATED,ESTABLISHED ): Trochu jsem to zjednodušil, záleží na relativním pořadí v FORWARD vůči jiným pravidlům (začátek/konec) a POLICY...

Já si myslím, že ji nezvyšuje dostatečně (lze poslat paket z WAN na vnitřní IP a měl by projít, což může stačit, pokud není cílem odpověď na paket zpět, kdy pujde NATovaně, což nemusí být problém, když je útočník na WAN, tak si opraví src u přijatých paketů ), ale myslím, že každý(?) soudný používá dodatečné pravidlo typu -PREROUTING -i wan -d LAN/24 -jREJECT .
Ale zároveň, že ji zvyšuje, protože se nemůže stát, že  někdo z druhého konce internetu(kdo nemá přístup k WAN), kde jde předchozí narativ, se dovolá na otevřenou službu  na nějakém PC bez stunů,upnp atd.


Mimochodem, ty nejsou ty  2 (DROP INVALID a ACCEPT EST+REL) jsou nějak komplementární?  Protože mám policy drop (v záhlaví 0pkts), na začátku DROP INVALID (11000 pkt za 3měsice/500GB), ke konci ACCEPT NA EST+REL a to pobere vše (Pokud není bug v iptables -vL, že v záhlaví ukazuje nulu, mám  tušení, že něco takového bylo)

[Vietnanka]

A nebo třetí možnost(už jsem to nestih opravit): "nat nezvyšuje bezpečnost" si mám vyložit jako NAT nezajistí 100% kompletní bezpečnost ?

Dokážu si představit spoustu věcí, proti kterým NAT neochrání :  UPNP funkcionalita (z routeru alias domnělé brány s NATem se vlastně stává bílý  kůň/komplic)

nebo to zmíněné útočení pakety  s vybroušenou DST adresou v  LAN . Proti tomu by měl chránit ISP (pokud to dělá, tak to nemusí dělat mezi klienty, ale jen na svém WAN ozhraní), ale rozhodně se na to nelze spoléhat, že někdo jiný za mě bude filtrovat dst ip příchozích paketů

závěr Myslím, že víme,před číma NAT ochrání a před čím ne,taky mě zajímá,estli spíš problém není v významovém chápání "nat  ne)zvyšuje bezpečnost" nebo že vy si nepředstavujete, že ji nezvyšuje tak si představujete. A jestli NATem myslíš jen tu část A -jMASQ bez části BÉ -ctstate INVALID-DROP/ESTABLISHED-ACCEPT. a možná i části C (i když teďsi uvědomuji, že to ESTABLISHED   řeší ty LAN DST IP z WAN, ale jen u TCP) - snad se nepletu

[panpanika]

ja se k nemu rad v tomhle pridam. nat nezvysuje bezpecnost. na bezpecnost pouzivej fw. hledat okolnosti za kterejch mozna trochu nat pomuze mi prijde padly na hlavu. polemizovat o tom zrovna tady ve vlakne mi prijde uplne kontraproduktivni.

[Reklama]

[ripper6]

NAT nebyl myslen nikdy jako firewall nebo ochrana napr pred virem. Pri vyhledani ala google, lze najit informace, ze NAT pomohl kdyz nekdo poslal virus na nejake pocitace (ne cilene na konkretni ale proste ze se siril virus), tak ty za NATem od operatora to nepostihlo.
NAT ze kdo ma tu potrebu se skryvat vic napr pred policii, ze stahl kdesi nelegalni software, film (asi horsi dohledavani daneho pc nebo ucastnika)
 

[technomaniak]

Moje dilema je verejna IPv4. Je k urcitemu druhu xDSL zdarma, takze mam IPv4 a i IPv6.

Já mám public IPv4. Mám tam standartní wifi router pouze s ochrannou proti DOS/DDOS, s nějakou trapnou verzí firewallu a samozřejmě pár nestandartních aktivních portů které přesměrovávají do LAN. IPv4 pořád čumí do internetu a různé pokusy o připojení či scanny portu jsou tam pořád(dennodenně). Jedu tak už cca 15 let a nejsem si vědom žádného úspěšného útoku. Možná proto že ty zařízení v LAN nebývají 24/7 aktivní.

Kdybych byl tebou prostě bych si ty public obě IP nechal. Můžou se hodit.

[Filip Jirsák]

Myslím tím, že z hlediska bezpečnosti je jedno, zda ISP NAT používá nebo nepoužívá. To, že se k vám nedostane jednoduše útočník z druhého konce světa neznamená, že stejný útočník není s vámi ve stejné síti za NATem. Nebo že nesedí v síti hned před NATem, odkud se za NAT dostane také. Takže když budete plánovat obranu, musíte počítat s tím, že útočník je ve stejné síti.

Je to jako kdybyste vytrénoval psa, že nepustí na zahradu nikoho, kdo má modrou bundu. Určitě pak nepřestanete zamykat – protože víte, že pes pustí kohokoli, kdo modrou bundu nemá.

A jestli NATem myslíš jen tu část A -jMASQ bez části BÉ -ctstate INVALID-DROP/ESTABLISHED-ACCEPT.

NATem myslím NAT a ne firewall. Tedy jen A a ne B. Když to v iptables není v tabulce nat (nebo případně mangle), není to NAT.

[rmrf]

Ať už bude mít tazatel internet s dodávanými veřejnými nebo neveřejnými adresami, musí mít nějaký svůj firewall. A konfigurace toho firewallu by měla být v obou případech prakticky úplně stejná - paranoidní. Takže za mě, pokud je možné vybrat si za stejné peníze adresu veřejnou i neveřejnou, je volba úplně jasná - veřejnou.

A pokud je to dokonce opravdový dual stack, tak není vůbec co řešit. Já mám kupříkladu doma možnost dynamické veřejné ipv4 bez ipv6 nebo možná nevím jakou veřejnou ipv6 s natovanou neveřejnou ipv4. Mám tedy veřejnou ipv4 a abych měl doma ipv6, musím řešit opičárny s tunelováním ipv6 provozu před VPS.

[mikesznovu]

Já mám kupříkladu doma možnost dynamické veřejné ipv4 bez ipv6 nebo možná nevím jakou veřejnou ipv6 s natovanou neveřejnou ipv4.

Mám pocit, že tohle je evergreen u majority poskytovatelů (řekl bych hlavně operátorů). Je nějaký důvod proč nedokáží nabídnout obě featury  ?

[Vít Šesták (v6ak)]

Někdy to může být setrvačnost starých smluv – k novým smlouvám bude veřejná statická IPv4 za poplatek nebo vůbec (nicméně se starou smlouvou to můžete mít zadarmo), ke starým smlouvám zase nebudete mít IPv6. Pokud ale někdo nabízí tyto dvě možnosti k novým smlouvám, pak to nechápu.

[neregistrovany]

NAT bezpečnost nijak nezvyšuje.

Bezpeci ma (minimalne) dva vyznamy. Jeden pocitovy, netechnicky, jako ze kdyz bude za natem tak se mu bude lip spat. V tomto vyznamu NAT bezpeci poskytuje.

Druhak bezpeci v oboru pocitacovych sitich znamena uroven prekazek v pristupu nekam, a NAT jako takovy prekazka je, urcitym druhem zabezpeceni tedy take je. Muzeme se samozrejme bavit o tom jak velkou prekazkou (urovni bezpeci) je, ale rikat ze nat nema nic spolecneho se sitovou bezpecnosti je podle me nespravne, a hranici to s bezpecnostni propagandou.

[Filip Jirsák]

Bezpeci ma (minimalne) dva vyznamy. Jeden pocitovy, netechnicky, jako ze kdyz bude za natem tak se mu bude lip spat. V tomto vyznamu NAT bezpeci poskytuje.

Tohle ovšem není „bezpečí“, ale „pocit bezpečí“. A pokud něco neposkytuje bezpečí ale poskytuje to pocit bezpečí, ve skutečnosti to naopak bezpečnost snižuje. Protože dotyčný má pocit, že je v bezpečí, nesnaží se o další zabezpečení, není obezřetný a tím se vystavuje nebezpečí.

Druhak bezpeci v oboru pocitacovych sitich znamena uroven prekazek v pristupu nekam, a NAT jako takovy prekazka je, urcitym druhem zabezpeceni tedy take je. Muzeme se samozrejme bavit o tom jak velkou prekazkou (urovni bezpeci) je, ale rikat ze nat nema nic spolecneho se sitovou bezpecnosti je podle me nespravne, a hranici to s bezpecnostni propagandou.

Chyba ve vaší úvaze je v tom, že předpokládáte, že každá překážka zvyšuje bezpečnost. Jenže to není pravda. Za prvé, aby překážka zvyšovala bezpečnost, musí působit systematicky – ne že útočníka zastaví jen v případě, kdy na ni náhodou narazí. Bankovní lupič může zakopnout o obrubník chodníku před bankou, rozbije si nos a banku nevyloupí. Cizojazyčný bankovní lupič může narazit na vstupní dveře s nápisem táhnout, nepodaří se mu je otevřít (bude tlačit), zazmatkuje a uteče. Můžete mít neoplocenou zahradu a v jednom místě dva metry zapomenutého plotu – může se stát, že se k vám někdo bude chtít v noci dostat, narazí zrovna na ten plot a nevšimne si, že jde obejít. Ale nic z toho není zabezpečení, protože to útočníka zastavilo jenom náhodou.

Za druhé, aby překážka zvyšovala bezpečnost, musí chránit proti nějakému vektoru útoku, proti kterému nechrání jiná věc v obranné sestavě. (Pozor, několik vrstev zabezpečení s tím není v rozporu – každá vrstva chrání jiným způsobem, takže je namířená proti jinému vektoru útoku.) Pokud do trezoru umístíte papírovou krabici, není to bezpečnostní opatření, protože kdo dokázal otevřít trezor, poradí si i s papírovou krabicí.

NAT chrání asi tak stejně, jako kdybyste měl kolem baráku plot, ale kus by ho chyběl – a v tom místě by byl normální průchod, nijak nehlídaný, dalo by se tam projet autem…

[FKoudelka]

NAT bezpečnost nijak nezvyšuje.

Bezpeci ma (minimalne) dva vyznamy. Jeden pocitovy, netechnicky, jako ze kdyz bude za natem tak se mu bude lip spat. V tomto vyznamu NAT bezpeci poskytuje.

Druhak bezpeci v oboru pocitacovych sitich znamena uroven prekazek v pristupu nekam, a NAT jako takovy prekazka je, urcitym druhem zabezpeceni tedy take je. Muzeme se samozrejme bavit o tom jak velkou prekazkou (urovni bezpeci) je, ale rikat ze nat nema nic spolecneho se sitovou bezpecnosti je podle me nespravne, a hranici to s bezpecnostni propagandou.

Tak teda trochu propagandy :-) :
TCP/IP je o tom, že něco naváže spojení na určitou IP a port.
Buď to schramstne přímo cíl, nebo NATovací mašina, která drží tabulku na jakou IP a port to poslat,
nic víc, nic míň. První adresa je (veřejně) známá, port taky, NATovací mašina bez firewallu to jen slepě pošle dál dovnitř, kde vidíte přínos k bezpečnosti ? NAT není ani překážka , IMO.

[neregistrovany]

NAT není ani překážka , IMO.

Proc se teda lidi snazej mit vlastni verejnou IP, kdyz NAT neni prekazka pristupu zvenci?