(ML-001) Jinsi ya kudhibiti ipasavyo IP nyingi za umma au za kibinafsi kwenye kipanga njia cha ukingo
$8,99
NAT na usalama: Unalindaje mitandao yetu ya ndani?
- Mauro Escalante
- Hakuna maoni
- Shiriki nakala hii
Facebook
Twitter
LinkedIn
WhatsApp
telegram
Kwa upande wa usalama, NAT hutoa safu ya ulinzi kwa kuficha anwani za IP za kibinafsi za vifaa ndani ya mtandao wa ndani.
Kwa mfano, tuseme una mtandao wa nyumbani ulio na vifaa kadhaa vilivyounganishwa, kama vile kompyuta, simu na kompyuta za mkononi. Bila NAT, kila moja ya vifaa hivi ingekuwa na anwani ya IP ya umma, na hivyo kuvifanya vitambulike kwa urahisi na hatari ya kushambuliwa kutoka kwa mtandao.
Kwa kutekeleza NAT, vifaa hivi vya ndani hushiriki anwani moja ya IP ya umma, na hivyo kufanya iwe vigumu kutambua na kushambulia kila kifaa kivyake.
Aidha, NAT inafanya kazi kama ngome ya msingi, kwani inazuia kiotomati trafiki isiyoombwa kutoka kwa Mtandao hadi vifaa vya ndani. Kwa hivyo, NAT inaruhusu tu miunganisho iliyoanzishwa kutoka ndani ya mtandao, ambayo inapunguza uwezekano wa mshambuliaji wa nje kupata vifaa vya ndani.
Hatua za ulinzi
Hata hivyo, NAT pekee haitoshi kuhakikisha usalama wa mitandao yetu ya ndani. Kwa hivyo, ni muhimu kukamilisha teknolojia hii na hatua zingine za ulinzi. Baadhi ya mikakati hii ya ziada ni pamoja na:
1. Tekeleza firewall
Ngome ni zana ya usalama inayodhibiti na kuchuja trafiki ya data kati ya mtandao wa ndani na Mtandao. Husaidia kuzuia trafiki isiyoidhinishwa na kulinda vifaa vya ndani dhidi ya vitisho vinavyoweza kutokea.
2. Tumia programu ya antivirus
Programu ya kingavirusi ni muhimu ili kulinda vifaa vyetu dhidi ya programu hasidi na mashambulizi mengine ya mtandao. Zaidi ya hayo, kusasisha ni muhimu ili kuhakikisha ufanisi wake.
3. Sanidi mtandao wako usiotumia waya kwa usalama
Hii inahusisha kutumia nenosiri thabiti na kuwezesha usimbaji fiche, kama vile itifaki ya WPA3, ili kulinda utumaji data.
4. Weka programu na mfumo wa uendeshaji hadi sasa
Vifaa vya ndani lazima zisasishwe mara kwa mara ili kurekebisha udhaifu unaowezekana na kuepuka kulengwa na mashambulizi.
Inamaanisha nini kuwa NAT hufanya kama ngome ya msingi?
NAT, inayofanya kazi kama ngome ya msingi, hutoa safu ya ziada ya usalama kwa mitandao yetu ya ndani. Ingawa si ya kina kama ngome maalum, ni muhimu kuelewa jinsi NAT inavyochangia katika ulinzi wa vifaa na data zetu.
Hapo chini, tutachunguza kwa undani jinsi NAT inavyofanya kazi kama ngome ya msingi na vikwazo vyake katika masuala ya usalama.
1. Kuchuja pakiti
NAT hufanya kama kichujio cha msingi cha pakiti kwa kuzuia kiotomatiki trafiki inayoingia ambayo haijaombwa kutoka kwa Mtandao hadi vifaa vya ndani. Hii inafanikiwa kupitia mchakato wa kutafsiri anwani, ambapo NAT hukagua ikiwa trafiki inayoingia ni jibu la ombi lililoanzishwa hapo awali kutoka kwa kifaa cha ndani. Ikiwa sivyo, trafiki hutupwa, kuzuia washambuliaji wa nje kufikia moja kwa moja vifaa vya ndani.
2. Kuficha anwani za IP za ndani
NAT hulinda anwani za IP za kibinafsi za vifaa ndani ya mtandao wa ndani kwa kuviruhusu kushiriki anwani moja ya IP ya umma. Ufichaji huu hufanya iwe vigumu kwa mvamizi wa nje kutambua na kushambulia kifaa mahususi kwa sababu hawezi kuona anwani za IP za faragha nyuma ya anwani ya IP ya pamoja ya umma.
3. Kuzuia mashambulizi ya nguvu ya kikatili
NAT inaweza kusaidia kuzuia mashambulizi ya nguvu ya kinyama yanayolenga mtandao wa ndani. Kwa kuzuia trafiki isiyoombwa, NAT huzuia mvamizi kujaribu michanganyiko tofauti ya nenosiri au kutafuta udhaifu kwenye vifaa vya ndani.
Mapungufu ya NAT kama ngome
Licha ya faida hizi, NAT ina mapungufu kama ngome ya msingi:
1. Ukosefu wa ukaguzi wa pakiti
Tofauti na ngome iliyojitolea, NAT haichunguzi yaliyomo kwenye pakiti za data zinazopitia humo. Kwa hivyo, haiwezi kugundua au kuzuia programu hasidi, virusi au vitisho vingine vilivyofichwa kwenye trafiki inayoruhusiwa.
2. Ukosefu wa sera za juu za usalama
NAT hairuhusu utekelezaji wa sera za juu za usalama, kama vile udhibiti wa programu, uchujaji wa maudhui ya wavuti, au uzuiaji wa kuingilia. Vipengele hivi ni muhimu ili kulinda mtandao wa ndani dhidi ya vitisho vya hali ya juu zaidi na vinapatikana katika ngome maalum.
3. Ulinzi mdogo dhidi ya mashambulizi ya ndani
NAT inazingatia ulinzi dhidi ya vitisho vya nje, lakini haiwezi kulinda mtandao wa ndani dhidi ya mashambulizi yanayoanzishwa kutoka ndani, kama vile wafanyakazi wasioridhika au vifaa vilivyoambukizwa. Firewall iliyojitolea inaweza kutoa ulinzi wa ziada katika suala hili.
Je, NAT inaweza kudukuliwa au kukiukwa?
Ndiyo, ingawa NAT hutoa safu ya msingi ya usalama, haiwezi kupumbazwa na inaweza kuathiriwa na aina fulani za mashambulizi au mbinu za udukuzi. Zifuatazo ni baadhi ya njia ambazo NAT inaweza kuathiriwa:
1. Mashambulizi ya kufurika kwa jedwali la NAT
Vifaa vya NAT hudumisha jedwali la utafsiri la anwani ambalo lina miunganisho kati ya anwani za IP za ndani na anwani ya IP ya umma. Mshambulizi anaweza kujaribu kujaza jedwali la NAT kwa maombi mengi ya uwongo, na kusababisha jedwali kufurika na kumaliza rasilimali za kifaa cha NAT. Hii inaweza kusababisha kunyimwa huduma (DoS) au kuruhusu mvamizi kufikia mtandao wa ndani.
2. Mashambulizi ya kutafakari na kukuza
Katika aina hii ya shambulio, mshambulizi hutuma maombi ghushi kwa seva zilizo hatarini kwa kutumia anwani ya IP ya mhasiriwa kama anwani ya chanzo. Seva hujibu kwa kiasi kikubwa cha data iliyoelekezwa kwa mwathirika, na kusababisha kunyimwa huduma (DoS). Ingawa NAT haijaathiriwa moja kwa moja katika hali hii, anwani yako ya IP ya pamoja inaweza kutumika kuzindua aina hizi za mashambulizi.
3. Udhaifu katika utekelezaji wa itifaki
Utekelezaji fulani wa NAT unaweza kuwa na udhaifu katika jinsi wanavyoshughulikia itifaki fulani, kama vile Itifaki ya Usanidi wa Mpangishi Mwema (DHCP) au Itifaki ya Uhamisho ya HyperText (HTTPS). Mshambulizi anayetumia udhaifu huu anaweza kufikia mtandao wa ndani au kunasa taarifa nyeti.
4. Mashambulizi ya nguvu ya kikatili kwenye bandari zilizo wazi
Ingawa NAT hufanya iwe vigumu kutambua vifaa mahususi, baadhi ya milango inaweza kuwa wazi ili kuruhusu miunganisho fulani inayoingia, kama vile huduma za michezo ya mtandaoni au programu za kupiga simu za video. Mshambulizi anaweza kujaribu kutumia vibaya bandari hizi zilizo wazi kupitia mashambulizi ya kinyama au kwa kutafuta udhaifu katika programu zinazozitumia.
Mifano na MikroTik RouterOS
Ili kuboresha usalama wa NAT kwenye kifaa cha MikroTik, unaweza kutekeleza mipangilio ifuatayo:
Mfano 1: Uchujaji wa pakiti kwenye ngome
Kuchuja pakiti kwenye ngome husaidia kuzuia trafiki isiyoidhinishwa na kulinda mtandao wa ndani. Unaweza kusanidi sheria katika firewall ya MikroTik ili kuruhusu trafiki muhimu tu na kuzuia wengine.
Kuweka:
- Fikia kiolesura cha wavuti cha kifaa chako cha MikroTik au ingia kwenye kipanga njia ukitumia Winbox.
- Nenda kwa "IP"> "Firewall"> "Sheria za Kichujio" na ubofye kitufe cha "+" ili kuongeza sheria mpya.
- Weka kamba kwa "pembejeo" na itifaki kwa "tcp". Ingiza anuwai ya milango unayotaka kuzuia kwenye "Dst. Bandari.”
- Weka kitendo "kudondosha" ili kudondosha pakiti zinazolingana na sheria hii.
- Rudia hatua 2-4 ili kuongeza sheria za ziada kama inahitajika.
- Hakikisha sheria zimeagizwa kwa usahihi, na sheria za "kuruhusu" kabla ya sheria za "kuzuia".
# Reemplaza "tcp_ports" con el rango de puertos que deseas bloquear, por ejemplo, "80,443"
:local tcp_ports "tcp_ports"
/ip firewall filter
add chain=input protocol=tcp dst-port=$tcp_ports action=drop comment="Bloquear puertos específicos"
Mfano wa 2: Weka kikomo idadi ya miunganisho mipya kwa sekunde
Kupunguza idadi ya miunganisho mipya kwa sekunde ni mbinu ya kulinda kifaa chako cha MikroTik dhidi ya mashambulizi ya kufurika kwa jedwali la NAT. Mipangilio hii inapunguza hatari ya mvamizi kujaza kifaa chako na maombi bandia.
Kuweka:
- Fikia kiolesura cha wavuti cha kifaa chako cha MikroTik au ingia kwenye kipanga njia ukitumia Winbox.
- Nenda kwa "IP"> "Firewall"> "Sheria za Kichujio" na ubofye kitufe cha "+" ili kuongeza sheria mpya.
- Weka mlolongo kuwa "mbele" na itifaki kwa "tcp".
- Katika kichupo cha "Advanced", chagua "bendera za tcp" na uteue visanduku vya "syn" katika "Alamisho" na "syn,!ack,!fin,!psh,!rst,!urg" katika "Hakuna Bendera".
- Kwenye kichupo cha "Ziada", weka thamani ya chini katika sehemu ya "Kikomo" (kwa mfano, 10/s) ili kupunguza idadi ya miunganisho mipya kwa sekunde.
- Weka kitendo "kudondosha" ili kudondosha pakiti zinazolingana na sheria hii.
- Hakikisha sheria zimepangwa kwa usahihi katika orodha ya "Kanuni za Kichujio".
# Reemplaza "10" con el número de conexiones nuevas por segundo que deseas permitir
:local connections_limit "10"
/ip firewall filter
add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=drop limit=$connections_limit,s src-address-list=!allowed comment="Limitar conexiones nuevas por segundo"
Hakikisha umebinafsisha maadili kulingana na mahitaji yako na mahitaji ya usalama kabla ya kutumia usanidi.
Baada ya kuweka msimbo kwenye terminal ya kifaa chako cha MikroTik, angalia sheria chini ya "IP"> "Firewall"> "Sheria za Kichujio" ili kuhakikisha kuwa zimetumika kwa usahihi.
Jaribio fupi la maarifa
Una maoni gani kuhusu makala hii?
Je, unathubutu kutathmini ujuzi wako uliojifunza?
Machapisho yanayohusiana
Machapisho yanayohusiana
Microlabs
(ML-002) Njia za kugawa anwani za IP za umma kwa wateja na MikroTik
$9,99
(ML-003) Mwongozo wa kusanidi njia za kutoka za Mtandao na watoa huduma wawili au zaidi (kutofaulu na kujirudia katika kusawazisha PCC)
$8,99
(ML-004) Chuja mikakati ya utekelezaji ili kuzuia ufikiaji wa kurasa za wavuti kwa MikroTik
$7,99
Mada zingine ambazo zinaweza kukuvutia
Je, ungependa kupendekeza mada?
Kila wiki tunachapisha maudhui mapya. Je, unataka tuongee kuhusu jambo fulani mahususi?
