NAT e sicurezza: come proteggiamo le nostre reti interne?

Mauro Scalante
Può 17, 2023
5:12
Non ci sono commenti

In termini di sicurezza, NAT fornisce un livello di protezione nascondendo gli indirizzi IP privati dei dispositivi all'interno della rete interna.

Ad esempio, supponiamo che tu abbia una rete domestica con diversi dispositivi collegati, come computer, telefoni e tablet. Senza NAT, ciascuno di questi dispositivi avrebbe un indirizzo IP pubblico, che li renderebbe facilmente identificabili e vulnerabili agli attacchi provenienti da Internet.

Alla fine dell'articolo troverai un piccolo test quello ti permetterà valutare le conoscenze acquisite in questa lettura

Vai a Prova

Implementando NAT, questi dispositivi interni condividono un unico indirizzo IP pubblico, rendendo difficile identificare e attaccare ciascun dispositivo individualmente.

Inoltre, NAT funziona come un firewall di base, poiché blocca automaticamente il traffico non richiesto da Internet ai dispositivi interni. Pertanto, NAT consente solo connessioni avviate dall'interno della rete, riducendo al minimo le possibilità che un utente malintenzionato esterno acceda ai dispositivi interni.

Misure protettive

Tuttavia, il NAT da solo non è sufficiente per garantire la sicurezza delle nostre reti interne. Pertanto, è essenziale integrare questa tecnologia con altre misure di protezione. Alcune di queste strategie aggiuntive includono:

1. Implementare un firewall

Un firewall è uno strumento di sicurezza che controlla e filtra il traffico di dati tra una rete interna e Internet. Aiuta a bloccare il traffico non autorizzato e a proteggere i dispositivi interni da potenziali minacce.

2. Utilizzare un software antivirus

Il software antivirus è essenziale per proteggere i nostri dispositivi da malware e altri attacchi informatici. Inoltre, mantenerlo aggiornato è fondamentale per garantirne l’efficacia.

3. Configura la tua rete wireless in modo sicuro

Ciò implica l'utilizzo di password complesse e l'abilitazione della crittografia, come il protocollo WPA3, per proteggere la trasmissione dei dati.

4. Mantenere aggiornati il software e il sistema operativo

I dispositivi interni devono essere aggiornati regolarmente per correggere possibili vulnerabilità ed evitare di essere presi di mira da attacchi.

Cosa significa che NAT funge da firewall di base?

NAT, funzionando come un firewall di base, fornisce un ulteriore livello di sicurezza alle nostre reti interne. Sebbene non sia completo come un firewall dedicato, è fondamentale capire come NAT contribuisce alla protezione dei nostri dispositivi e dati.

Di seguito esploreremo in dettaglio il modo in cui NAT funge da firewall di base e i suoi limiti in termini di sicurezza.

1. Filtraggio dei pacchetti

NAT agisce come un filtro di pacchetti di base bloccando automaticamente il traffico in entrata non richiesto da Internet ai dispositivi interni. Ciò si ottiene attraverso il processo di traduzione degli indirizzi, in cui NAT controlla se il traffico in entrata è una risposta a una richiesta precedentemente avviata da un dispositivo interno. In caso contrario, il traffico viene scartato, impedendo agli aggressori esterni di accedere direttamente ai dispositivi interni.

2. Nascondere gli indirizzi IP interni

NAT protegge gli indirizzi IP privati dei dispositivi all'interno di una rete interna consentendo loro di condividere un singolo indirizzo IP pubblico. Questo mascheramento rende difficile per un utente malintenzionato esterno identificare e attaccare un dispositivo specifico perché non può vedere gli indirizzi IP privati dietro l'indirizzo IP pubblico condiviso.

3. Prevenire gli attacchi di forza bruta

NAT può aiutare a prevenire attacchi di forza bruta mirati alla rete interna. Bloccando il traffico non richiesto, NAT impedisce a un utente malintenzionato di provare diverse combinazioni di password o cercare vulnerabilità sui dispositivi interni.

Limitazioni del NAT come firewall

Nonostante questi vantaggi, NAT presenta dei limiti come firewall di base:

1. Mancanza di ispezione dei pacchetti

A differenza di un firewall dedicato, NAT non esamina il contenuto dei pacchetti di dati che lo attraversano. Pertanto, non è in grado di rilevare o bloccare malware, virus o altre minacce nascoste nel traffico consentito.

2. Mancanza di politiche di sicurezza avanzate

NAT non consente l'implementazione di policy di sicurezza avanzate, come il controllo delle applicazioni, il filtraggio dei contenuti Web o la prevenzione delle intrusioni. Queste funzionalità sono essenziali per proteggere la rete interna dalle minacce più sofisticate e sono disponibili in firewall dedicati.

3. Protezione limitata contro gli attacchi interni

NAT si concentra sulla protezione dalle minacce esterne, ma non può difendere la rete interna dagli attacchi avviati dall'interno, come dipendenti scontenti o dispositivi infetti. Un firewall dedicato può offrire una protezione aggiuntiva a questo riguardo.

Il NAT può essere hackerato o violato?

Sì, sebbene NAT fornisca un livello base di sicurezza, non è infallibile e potrebbe essere vulnerabile a determinati tipi di attacchi o tecniche di hacking. Di seguito sono riportati alcuni dei modi in cui NAT potrebbe essere compromesso:

1. Attacchi di overflow della tabella NAT

I dispositivi NAT mantengono una tabella di traduzione degli indirizzi che contiene le mappature tra gli indirizzi IP interni e l'indirizzo IP pubblico. Un utente malintenzionato potrebbe tentare di inondare la tabella NAT con più false richieste, provocando un overflow della tabella ed esaurendo le risorse del dispositivo NAT. Ciò potrebbe comportare un rifiuto di servizio (DoS) o consentire all'aggressore di accedere alla rete interna.

2. Attacchi di riflessione e amplificazione

In questo tipo di attacco, l'aggressore invia richieste contraffatte ai server vulnerabili utilizzando l'indirizzo IP pubblico della vittima come indirizzo di origine. I server rispondono con una grande quantità di dati diretti alla vittima, provocando un rifiuto di servizio (DoS). Sebbene NAT non sia direttamente compromesso in questo scenario, il tuo indirizzo IP pubblico condiviso potrebbe essere utilizzato per lanciare questo tipo di attacchi.

3. Vulnerabilità nell'attuazione del protocollo

Alcune implementazioni NAT possono contenere vulnerabilità nel modo in cui gestiscono determinati protocolli, come Dynamic Host Configuration Protocol (DHCP) o Secure Hypertext Transfer Protocol (HTTPS). Un utente malintenzionato che sfrutta queste vulnerabilità potrebbe accedere alla rete interna o intercettare informazioni sensibili.

4. Attacchi di forza bruta contro le porte aperte

Sebbene NAT renda difficile identificare i singoli dispositivi, alcune porte potrebbero essere aperte per consentire determinate connessioni in entrata, come servizi di gioco online o applicazioni di videochiamata. Un utente malintenzionato potrebbe tentare di sfruttare queste porte aperte attraverso attacchi di forza bruta o cercando vulnerabilità nelle applicazioni che le utilizzano.

Esempi con MikroTik RouterOS

Per migliorare la sicurezza NAT su un dispositivo MikroTik, puoi implementare le seguenti impostazioni:

Esempio 1: filtraggio dei pacchetti sul firewall

Il filtraggio dei pacchetti nel firewall aiuta a bloccare il traffico non autorizzato e a proteggere la rete interna. Puoi configurare le regole nel firewall MikroTik per consentire solo il traffico necessario e bloccare il resto.

impostazione:

Accedi all'interfaccia web del tuo dispositivo MikroTik o accedi al router utilizzando Winbox.
Vai su “IP” > “Firewall” > “Regole filtro” e fai clic sul pulsante “+” per aggiungere una nuova regola.
Imposta la stringa su "input" e il protocollo su "tcp". Inserisci l'intervallo di porte che desideri bloccare nel campo "Dst. Porta."
Imposta l'azione su "rilascia" per eliminare i pacchetti che corrispondono a questa regola.
Ripeti i passaggi 2-4 per aggiungere ulteriori regole secondo necessità.
Assicurati che le regole siano ordinate correttamente, con le regole "consenti" prima delle regole "blocca".

				
					# Reemplaza "tcp_ports" con el rango de puertos que deseas bloquear, por ejemplo, "80,443"
:local tcp_ports "tcp_ports"

/ip firewall filter
add chain=input protocol=tcp dst-port=$tcp_ports action=drop comment="Bloquear puertos específicos"

Esempio 2: limitare il numero di nuove connessioni al secondo

Limitare il numero di nuove connessioni al secondo è una tecnica per proteggere il tuo dispositivo MikroTik dagli attacchi di overflow della tabella NAT. Questa impostazione riduce il rischio che un utente malintenzionato inondi il tuo dispositivo con richieste false.

impostazione:

Accedi all'interfaccia web del tuo dispositivo MikroTik o accedi al router utilizzando Winbox.
Vai su “IP” > “Firewall” > “Regole filtro” e fai clic sul pulsante “+” per aggiungere una nuova regola.
Imposta la catena su "forward" e il protocollo su "tcp".
Nella scheda "Avanzate", seleziona "flag tcp" e seleziona le caselle "syn" in "Flags" e "syn,!ack,!fin,!psh,!rst,!urg" in "No Flags".
Nella scheda "Extra", inserisci un valore basso nel campo "Limite" (ad esempio, 10/s) per limitare il numero di nuove connessioni al secondo.
Imposta l'azione su "rilascia" per eliminare i pacchetti che corrispondono a questa regola.
Assicurati che le regole siano ordinate correttamente nell'elenco "Regole filtro".

				
					# Reemplaza "10" con el número de conexiones nuevas por segundo que deseas permitir
:local connections_limit "10"

/ip firewall filter
add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=drop limit=$connections_limit,s src-address-list=!allowed comment="Limitar conexiones nuevas por segundo"

Assicurati di personalizzare i valori in base alle tue esigenze e ai requisiti di sicurezza prima di applicare le configurazioni.

Dopo aver inserito il codice sul terminale del tuo dispositivo MikroTik, controlla le regole in "IP" > "Firewall" > "Regole filtro" per assicurarti che siano state applicate correttamente.