Drošības ziņā NAT nodrošina aizsardzības līmeni, slēpjot iekšējā tīklā esošo ierīču privātās IP adreses.
Piemēram, pieņemsim, ka jums ir mājas tīkls ar vairākām pievienotām ierīcēm, piemēram, datoriem, tālruņiem un planšetdatoriem. Bez NAT katrai no šīm ierīcēm būtu publiska IP adrese, padarot tās viegli identificējamas un neaizsargātas pret uzbrukumiem no interneta.
Raksta beigās jūs atradīsiet nelielu pārbaude kas jums ļaus noteikt šajā lasījumā iegūtās zināšanas
Ieviešot NAT, šīm iekšējām ierīcēm ir viena publiska IP adrese, kas apgrūtina katras ierīces identificēšanu un uzbrukumu atsevišķi.
Turklāt, NAT darbojas kā pamata ugunsmūris, jo tas automātiski bloķē nevēlamu trafiku no interneta uz iekšējām ierīcēm. Tādējādi NAT pieļauj tikai savienojumus, kas uzsākti no tīkla, kas samazina iespēju, ka ārējs uzbrucējs piekļūs iekšējām ierīcēm.
Aizsardzības pasākumi
Tomēr ar NAT vien nepietiek, lai nodrošinātu mūsu iekšējo tīklu drošību. Tāpēc ir būtiski šo tehnoloģiju papildināt ar citiem aizsardzības pasākumiem. Dažas no šīm papildu stratēģijām ietver:
1. Ieviesiet ugunsmūri
Ugunsmūris ir drošības rīks, kas kontrolē un filtrē datu trafiku starp iekšējo tīklu un internetu. Palīdz bloķēt nesankcionētu trafiku un aizsargāt iekšējās ierīces no iespējamiem draudiem.
2. Izmantojiet pretvīrusu programmatūru
Pretvīrusu programmatūra ir būtiska, lai aizsargātu mūsu ierīces no ļaunprātīgas programmatūras un citiem kiberuzbrukumiem. Turklāt tās atjaunināšana ir ļoti svarīga, lai nodrošinātu tās efektivitāti.
3. Droši iestatiet bezvadu tīklu
Tas ietver spēcīgu paroļu izmantošanu un šifrēšanas iespējošanu, piemēram, WPA3 protokolu, lai aizsargātu datu pārraidi.
4. Atjauniniet programmatūru un operētājsistēmu
Iekšējās ierīces ir regulāri jāatjaunina, lai novērstu iespējamās ievainojamības un izvairītos no uzbrukumiem.
Ko nozīmē, ka NAT darbojas kā pamata ugunsmūris?
NAT, kas darbojas kā pamata ugunsmūris, nodrošina papildu drošības līmeni mūsu iekšējiem tīkliem. Lai gan tas nav tik visaptverošs kā īpašs ugunsmūris, ir ļoti svarīgi saprast, kā NAT veicina mūsu ierīču un datu aizsardzību.
Tālāk mēs detalizēti izpētīsim, kā NAT darbojas kā pamata ugunsmūris, un tā ierobežojumus drošības ziņā.
1. Pakešu filtrēšana
NAT darbojas kā pamata pakešu filtrs, automātiski bloķējot nevēlamu ienākošo trafiku no interneta uz iekšējām ierīcēm. Tas tiek panākts, izmantojot adreses tulkošanas procesu, kurā NAT pārbauda, vai ienākošā trafika ir atbilde uz pieprasījumu, kas iepriekš tika ierosināts no iekšējās ierīces. Ja tā nav, trafika tiek atmesta, neļaujot ārējiem uzbrucējiem tieši piekļūt iekšējām ierīcēm.
2. Iekšējo IP adrešu slēpšana
NAT aizsargā iekšējā tīklā esošo ierīču privātās IP adreses, ļaujot tām koplietot vienu publisku IP adresi. Šī maskēšana apgrūtina ārējam uzbrucējam identificēt un uzbrukt konkrētai ierīcei, jo viņi nevar redzēt privātās IP adreses aiz koplietotās publiskās IP adreses.
3. Brutāla spēka uzbrukumu novēršana
NAT var palīdzēt novērst brutālu spēku uzbrukumus, kuru mērķis ir iekšējais tīkls. Bloķējot nevēlamu trafiku, NAT neļauj uzbrucējam izmēģināt dažādas paroļu kombinācijas vai meklēt ievainojamības iekšējās ierīcēs.
NAT kā ugunsmūra ierobežojumi
Neskatoties uz šīm priekšrocībām, NAT kā pamata ugunsmūrim ir ierobežojumi:
1. Pakešu pārbaudes trūkums
Atšķirībā no speciālā ugunsmūra, NAT nepārbauda caur to ejošo datu pakešu saturu. Tāpēc tas nevar atklāt vai bloķēt ļaunprātīgu programmatūru, vīrusus vai citus draudus, kas paslēpti atļautajā trafikā.
2. Uzlabotas drošības politikas trūkums
NAT neļauj ieviest uzlabotas drošības politikas, piemēram, lietojumprogrammu kontroli, tīmekļa satura filtrēšanu vai ielaušanās novēršanu. Šie līdzekļi ir būtiski, lai aizsargātu iekšējo tīklu no sarežģītākiem draudiem, un tie ir pieejami speciālos ugunsmūros.
3. Ierobežota aizsardzība pret iekšējās informācijas uzbrukumiem
NAT koncentrējas uz aizsardzību pret ārējiem draudiem, taču nevar aizsargāt iekšējo tīklu no uzbrukumiem, kas ierosināti no iekšpuses, piemēram, neapmierināti darbinieki vai inficētas ierīces. Īpašs ugunsmūris var piedāvāt papildu aizsardzību šajā sakarā.
Vai NAT var uzlauzt vai pārkāpt?
Jā, lai gan NAT nodrošina pamata drošības līmeni, tas nav drošs un var būt neaizsargāts pret noteikta veida uzbrukumiem vai uzlaušanas paņēmieniem. Tālāk ir norādīti daži veidi, kā var tikt apdraudēta NAT.
1. NAT tabulas pārpildes uzbrukumi
NAT ierīces uztur adrešu tulkošanas tabulu, kurā ir ietverta kartēšana starp iekšējām IP adresēm un publisko IP adresi. Uzbrucējs var mēģināt pārpludināt NAT tabulu ar vairākiem nepatiesiem pieprasījumiem, izraisot tabulas pārpildīšanu un iztērējot NAT ierīces resursus. Tas var izraisīt pakalpojuma liegšanu (DoS) vai ļaut uzbrucējam piekļūt iekšējam tīklam.
2. Refleksijas un pastiprināšanas uzbrukumi
Šāda veida uzbrukumā uzbrucējs nosūta viltotus pieprasījumus uz neaizsargātiem serveriem, izmantojot upura publisko IP adresi kā avota adresi. Serveri reaģē ar lielu datu apjomu, kas vērsts uz upuri, izraisot pakalpojuma atteikumu (DoS). Lai gan šajā scenārijā NAT nav tieši apdraudēts, jūsu kopīgotā publiskā IP adrese var tikt izmantota, lai uzsāktu šāda veida uzbrukumus.
3. Neaizsargātības protokola ieviešanā
Dažās NAT implementācijās var būt ievainojamības dažu protokolu apstrādē, piemēram, dinamiskās resursdatora konfigurācijas protokols (DHCP) vai drošā hiperteksta pārsūtīšanas protokols (HTTPS). Uzbrucējs, kurš izmanto šīs ievainojamības, var piekļūt iekšējam tīklam vai pārtvert sensitīvu informāciju.
4. Brutālu spēku uzbrukumi atvērtām ostām
Lai gan NAT apgrūtina atsevišķu ierīču identificēšanu, daži porti var būt atvērti, lai atļautu noteiktus ienākošos savienojumus, piemēram, tiešsaistes spēļu pakalpojumus vai videozvanu lietojumprogrammas. Uzbrucējs var mēģināt izmantot šos atvērtos portus, veicot brutāla spēka uzbrukumus vai meklējot ievainojamības lietojumprogrammās, kas tos izmanto.
Piemēri ar MikroTik RouterOS
Lai uzlabotu NAT drošību MikroTik ierīcē, varat ieviest šādus iestatījumus:
1. piemērs: pakešu filtrēšana ugunsmūrī
Pakešu filtrēšana ugunsmūrī palīdz bloķēt nesankcionētu trafiku un aizsargāt iekšējo tīklu. MikroTik ugunsmūrī varat konfigurēt noteikumus, lai atļautu tikai nepieciešamo trafiku un bloķētu pārējo.
Iestatījums:
- Piekļūstiet savas MikroTik ierīces tīmekļa saskarnei vai piesakieties maršrutētājā, izmantojot Winbox.
- Dodieties uz “IP” > “Ugunsmūris” > “Filtra noteikumi” un noklikšķiniet uz pogas “+”, lai pievienotu jaunu noteikumu.
- Iestatiet virkni uz “input” un protokolu uz “tcp”. Ievadiet portu diapazonu, ko vēlaties bloķēt laukā “Dst. Osta.”
- Iestatiet darbību uz “nomest”, lai nomestu paketes, kas atbilst šim noteikumam.
- Atkārtojiet 2.–4. darbību, lai pēc vajadzības pievienotu papildu noteikumus.
- Pārliecinieties, vai noteikumi ir sakārtoti pareizi, kārtulas “atļaut” pirms “bloķēšanas” noteikumiem.
# Reemplaza "tcp_ports" con el rango de puertos que deseas bloquear, por ejemplo, "80,443"
:local tcp_ports "tcp_ports"
/ip firewall filter
add chain=input protocol=tcp dst-port=$tcp_ports action=drop comment="Bloquear puertos específicos"
2. piemērs. Ierobežojiet jaunu savienojumu skaitu sekundē
Jaunu savienojumu skaita ierobežošana sekundē ir paņēmiens, kas aizsargā jūsu MikroTik ierīci no NAT tabulas pārpildes uzbrukumiem. Šis iestatījums samazina risku, ka uzbrucējs pārpludinās jūsu ierīci ar viltus pieprasījumiem.
Iestatījums:
- Piekļūstiet savas MikroTik ierīces tīmekļa saskarnei vai piesakieties maršrutētājā, izmantojot Winbox.
- Dodieties uz “IP” > “Ugunsmūris” > “Filtra noteikumi” un noklikšķiniet uz pogas “+”, lai pievienotu jaunu noteikumu.
- Iestatiet ķēdi uz “forward” un protokolu uz “tcp”.
- Cilnē “Papildu” atlasiet “tcp flags” un atzīmējiet izvēles rūtiņas “syn” sadaļā “Flags” un “syn,!ack,!fin,!psh,!rst,!urg” sadaļā “No Flags”.
- Cilnes “Papildu” laukā “Ierobežojums” ievadiet zemu vērtību (piemēram, 10/s), lai ierobežotu jaunu savienojumu skaitu sekundē.
- Iestatiet darbību uz “nomest”, lai nomestu paketes, kas atbilst šim noteikumam.
- Pārliecinieties, vai kārtulas ir pareizi sakārtotas sarakstā “Filtra kārtulas”.
# Reemplaza "10" con el número de conexiones nuevas por segundo que deseas permitir
:local connections_limit "10"
/ip firewall filter
add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=drop limit=$connections_limit,s src-address-list=!allowed comment="Limitar conexiones nuevas por segundo"
Pirms konfigurāciju lietošanas noteikti pielāgojiet vērtības atbilstoši savām vajadzībām un drošības prasībām.
Pēc koda ievadīšanas MikroTik ierīces terminālī pārbaudiet noteikumus sadaļā “IP” > “Ugunsmūris” > “Filtra noteikumi”, lai pārliecinātos, ka tie ir piemēroti pareizi.