NAT i seguretat: Com protegeix les nostres xarxes internes?

Mauro Escalant
maig 17, 2023
5: 12 pm
Cap comentari

Pel que fa a la seguretat, NAT proporciona una capa de protecció en ocultar les adreces IP privades dels dispositius dins de la xarxa interna.

Per exemple, suposem que tens una xarxa domèstica amb diversos dispositius connectats, com ara ordinadors, telèfons i tauletes. Sense NAT, cadascun d'aquests dispositius tindria una adreça IP pública, cosa que els faria fàcilment identificables i vulnerables a atacs des d'Internet.

Al final de l'article trobareu un petit prova que et permetrà avaluar els coneixements adquirits en aquesta lectura

Anar al Test

En implementar NAT, aquests dispositius interns comparteixen una única adreça IP pública, cosa que dificulta la identificació i l'atac individual de cada dispositiu.

A més, NAT funciona com un firewall (tallafocs) bàsic, ja que bloqueja automàticament el trànsit no sol·licitat des d'Internet cap als dispositius interns. Així, NAT permet només les connexions iniciades des de dins de la xarxa, cosa que minimitza les possibilitats que un atacant extern accedeixi als dispositius interns.

Mesures de protecció

Tot i això, NAT per si sol no és suficient per garantir la seguretat de les nostres xarxes internes. Per tant, és fonamental complementar aquesta tecnologia amb altres mesures de protecció. Algunes d'aquestes estratègies addicionals inclouen:

1. Implementar un firewall (tallafocs)

Un firewall (tallafocs) és una eina de seguretat que controla i filtra el trànsit de dades entre una xarxa interna i la Internet. Ajuda a bloquejar el trànsit no autoritzat i protegeix els dispositius interns de possibles amenaces.

2. Utilitzar programari antivirus

El programari antivirus és essencial per protegir els nostres dispositius de codi maliciós i altres atacs cibernètics. A més, mantenir-lo actualitzat és crucial per assegurar-ne l'efectivitat.

3. Configurar la xarxa sense fils de forma segura

Això implica la utilització de contrasenyes robustes i l'activació de xifratge, com ara el protocol WPA3, per protegir la transmissió de dades.

4. Mantenir el programari i el sistema operatiu actualitzats

Els dispositius interns han de ser actualitzats regularment per corregir possibles vulnerabilitats i evitar ser blanc d'atacs.

Què significa que NAT funciona com un tallafoc (firewall) bàsic?

NAT, en funcionar com un firewall (curtafocs) bàsic, proporciona una capa addicional de seguretat a les nostres xarxes internes. Tot i que no és tan complet com un tallafocs dedicat, és crucial comprendre com NAT contribueix a la protecció dels nostres dispositius i dades.

A continuació, explorarem detalladament com NAT actua com un firewall (curtafocs) bàsic i les seves limitacions en termes de seguretat.

1. Filtrat de paquets

NAT actua com un filtre bàsic de paquets en bloquejar automàticament el trànsit entrant no sol·licitat des d'Internet cap als dispositius interns. Això s'aconsegueix mitjançant el procés de traducció d'adreces, on NAT verifica si el trànsit entrant és una resposta a una sol·licitud iniciada prèviament des d'un dispositiu intern. Si no ho és, el trànsit es descarta, evitant que els atacants externs accedeixin directament als dispositius interns.

2. Ocultació d'adreces IP internes

NAT protegeix les adreces IP privades dels dispositius dins una xarxa interna en permetre'ls compartir una única adreça IP pública. Aquest emmascarament dificulta que un atacant extern identifiqui i ataqui un dispositiu específic, ja que no poden veure les adreces IP privades darrere de l'adreça IP pública compartida.

3. Prevenció d'atacs de força bruta

NAT pot ajudar a prevenir atacs de força bruta adreçats a la xarxa interna. En bloquejar el trànsit no sol·licitat, NAT impedeix que un atacant provi diferents combinacions de contrasenyes o busqui vulnerabilitats als dispositius interns.

Limitacions del NAT com a firewall

Tot i aquests beneficis, NAT té limitacions com a firewall (tallafocs) bàsic:

1. Manca d'inspecció de paquets

A diferència d'un tallafoc (firewall) dedicat, NAT no examina el contingut dels paquets de dades que passen a través d'aquest. Per tant, no pot detectar ni bloquejar codi maliciós (malware), virus o altres amenaces ocultes en el trànsit permès.

2. Absència de polítiques de seguretat avançades

NAT no permet la implementació de polítiques de seguretat avançades, com ara el control d'aplicacions, el filtratge de contingut web o la prevenció d'intrusions. Aquestes funcions són essencials per protegir la xarxa interna d'amenaces més sofisticades i estan disponibles a tallafocs dedicats.

3. Limitada protecció contra atacs interns

NAT se centra en la protecció contra amenaces externes, però no pot defensar la xarxa interna d'atacs iniciats des de dins, com a empleats descontents o dispositius infectats. Un tallafoc dedicat pot oferir protecció addicional en aquest aspecte.

Es pot hackejar o vulnerar el NAT?

Sí, encara que NAT proporciona una capa bàsica de seguretat, no és infal·lible i pot ser vulnerable a certs tipus d'atacs o tècniques de hacking. A continuació, es detallen algunes de les maneres com NAT podria veure's compromès:

1. Atacs de desbordament de taula NAT

Els dispositius NAT mantenen una taula de traducció d'adreces que conté assignacions entre les adreces IP internes i l'adreça IP pública. Un atacant podria intentar inundar la taula NAT amb múltiples sol·licituds falses, causant un desbordament de la taula i esgotant els recursos del dispositiu NAT. Això podria ser una denegació de servei (DoS) o permetre que l'atacant accedeixi a la xarxa interna.

2. Atacs de reflexió i amplificació

En aquest tipus d'atac, un atacant envia sol·licituds falsificades a servidors vulnerables utilitzant l'adreça IP pública de la víctima com a adreça d'origen. Els servidors responen amb una gran quantitat de dades adreçades a la víctima, cosa que provoca una denegació de servei (DoS). Encara que NAT no es veu directament compromès en aquest escenari, la vostra adreça IP pública compartida podria utilitzar-se per llançar aquest tipus d'atacs.

3. Vulnerabilitats en la implementació del protocol

Algunes implementacions de NAT poden contenir vulnerabilitats en la manera com manegen certs protocols, com el Protocol de Configuració Dinàmica de Host (DHCP) o el Protocol de Trasllat d'Hipertext Segur (HTTPS). Un atacant que exploti aquestes vulnerabilitats podria obtenir accés a la xarxa interna o interceptar informació confidencial.

4. Atacs de força bruta a ports oberts

Encara que NAT dificulta la identificació de dispositius individuals, alguns ports poden estar oberts per permetre certes connexions entrants, com ara serveis de jocs en línia o aplicacions de videotrucades. Un atacant podria intentar explotar aquests ports oberts mitjançant atacs de força bruta o la cerca de vulnerabilitats en les aplicacions que els utilitzen.

Exemples amb MikroTik RouterOS

Per millorar la seguretat del NAT en un dispositiu MikroTik, podeu implementar les següents configuracions:

Exemple 1: Filtratge de paquets al tallafoc (firewall)

El filtratge de paquets al tallafoc (firewall) ajuda a bloquejar el trànsit no autoritzat i protegir la xarxa interna. Podeu configurar regles al tallafoc de MikroTik per permetre només el trànsit necessari i bloquejar la resta.

Configuració:

Accedeix a la interfície web del teu dispositiu MikroTik o inicia sessió al router utilitzant Winbox.
Aneu a “IP” > “Firewall” > “Filter Rules” i feu clic al botó “+” per afegir una nova regla.
Estableix la cadena a “input” i el protocol a “tcp”. Introduïu el rang de ports que voleu bloquejar al camp “Dst. Port”.
Configura l'acció com a “drop” per descartar els paquets que coincideixin amb aquesta regla.
Repeteix els passos 2-4 per afegir regles addicionals segons calgui.
Assegureu-vos que les regles estiguin ordenades correctament, amb les regles de “permetre” abans de les de “bloquejar”.

				
					# Reemplaza "tcp_ports" con el rango de puertos que deseas bloquear, por ejemplo, "80,443"
:local tcp_ports "tcp_ports"

/ip firewall filter
add chain=input protocol=tcp dst-port=$tcp_ports action=drop comment="Bloquear puertos específicos"

Exemple 2: Limitar la quantitat de connexions noves per segon

Limitar la quantitat de connexions noves per segon és una tècnica per protegir el dispositiu MikroTik d'atacs de desbordament de la taula NAT. Aquesta configuració redueix el risc que un atacant inundi el dispositiu amb sol·licituds falses.

Configuració:

Accedeix a la interfície web del teu dispositiu MikroTik o inicia sessió al router utilitzant Winbox.
Aneu a “IP” > “Firewall” > “Filter Rules” i feu clic al botó “+” per afegir una nova regla.
Estableix la cadena a “forward” i el protocol a “tcp”.
A la pestanya “Advanced”, selecciona “tcp flags” i marca les caselles “syn” a “Flags” i “syn,!ack,!fi,!psh,!rst,!urg” a “No Flags”.
A la pestanya “Extra”, introduïu un valor baix al camp “Limit” (per exemple, 10/s) per limitar el nombre de connexions noves per segon.
Configura l'acció com a “drop” per descartar els paquets que coincideixin amb aquesta regla.
Assegureu-vos que les regles estiguin ordenades correctament a la llista de Filter Rules.

				
					# Reemplaza "10" con el número de conexiones nuevas por segundo que deseas permitir
:local connections_limit "10"

/ip firewall filter
add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=drop limit=$connections_limit,s src-address-list=!allowed comment="Limitar conexiones nuevas por segundo"

Assegureu-vos de personalitzar els valors segons les vostres necessitats i requisits de seguretat abans d'aplicar les configuracions.

Després d'introduir el codi a la terminal del dispositiu MikroTik, verifiqueu les normes a “IP” > “Firewall” > “Filter Rules” per assegurar-vos que s'hagin aplicat correctament.