NAT ve güvenlik: Dahili ağlarımızı nasıl koruyorsunuz?

Mauro Escalante
Mayıs 17, 2023
5:12 pm
Yorum yok

Güvenlik açısından NAT, iç ağdaki cihazların özel IP adreslerini gizleyerek bir koruma katmanı sağlar.

Örneğin, bilgisayarlar, telefonlar ve tabletler gibi birbirine bağlı birden fazla cihazın bulunduğu bir ev ağınız olduğunu varsayalım. NAT olmasaydı, bu cihazların her birinin genel bir IP adresi olurdu, bu da onları kolayca tanımlanabilecek ve İnternet'ten gelebilecek saldırılara karşı savunmasız hale getirecekti.

Makalenin sonunda küçük bir şey bulacaksınız test bu sana izin verecek belirlemek bu okumada edinilen bilgi

Teste Git

NAT'ın uygulanmasıyla, bu dahili cihazlar tek bir genel IP adresini paylaşır, bu da her cihazın ayrı ayrı tanımlanmasını ve saldırıya uğramasını zorlaştırır.

Buna ek olarak, NAT temel bir güvenlik duvarı olarak çalışırİnternetten dahili cihazlara gelen istenmeyen trafiği otomatik olarak engellediği için. Böylece NAT yalnızca ağ içinden başlatılan bağlantılara izin verir, bu da harici bir saldırganın dahili cihazlara erişme olasılığını en aza indirir.

Koruma önlemleri

Ancak NAT, iç ağlarımızın güvenliğini sağlamak için tek başına yeterli değildir. Bu nedenle bu teknolojiyi diğer koruma önlemleriyle tamamlamak önemlidir. Bu ek stratejilerden bazıları şunlardır:

1. Güvenlik duvarı uygulayın

Güvenlik duvarı, dahili ağ ile İnternet arasındaki veri trafiğini kontrol eden ve filtreleyen bir güvenlik aracıdır. Yetkisiz trafiğin engellenmesine ve dahili cihazların potansiyel tehditlere karşı korunmasına yardımcı olur.

2. Antivirüs yazılımı kullanın

Antivirüs yazılımı, cihazlarımızı kötü amaçlı yazılımlardan ve diğer siber saldırılardan korumak için gereklidir. Ayrıca güncel tutulması, etkinliğinin sağlanması açısından çok önemlidir.

3. Kablosuz ağınızı güvenli bir şekilde kurun

Bu, veri aktarımını korumak için güçlü parolalar kullanmayı ve WPA3 protokolü gibi şifrelemeyi etkinleştirmeyi içerir.

4. Yazılımı ve işletim sistemini güncel tutun

Olası güvenlik açıklarını gidermek ve saldırıların hedefi olmayı önlemek için dahili cihazların düzenli olarak güncellenmesi gerekir.

NAT'ın temel bir güvenlik duvarı görevi görmesi ne anlama geliyor?

Temel bir güvenlik duvarı işlevi gören NAT, iç ağlarımıza ek bir güvenlik katmanı sağlar. Özel bir güvenlik duvarı kadar kapsamlı olmasa da NAT'ın cihazlarımızın ve verilerimizin korunmasına nasıl katkıda bulunduğunu anlamak çok önemlidir.

Aşağıda NAT'ın nasıl temel bir güvenlik duvarı görevi gördüğünü ve güvenlik açısından sınırlamalarını ayrıntılı olarak inceleyeceğiz.

1. Paket filtreleme

NAT, İnternetten dahili cihazlara gelen istenmeyen trafiği otomatik olarak engelleyerek temel bir paket filtresi görevi görür. Bu, NAT'ın gelen trafiğin daha önce dahili bir cihazdan başlatılan bir isteğe yanıt olup olmadığını kontrol ettiği adres çeviri süreci aracılığıyla gerçekleştirilir. Aksi takdirde trafik atılır ve harici saldırganların dahili cihazlara doğrudan erişmesi engellenir.

2. Dahili IP adreslerini gizleme

NAT, dahili bir ağ içindeki cihazların özel IP adreslerini, tek bir genel IP adresini paylaşmalarına izin vererek korur. Bu maskeleme, harici bir saldırganın, paylaşılan genel IP adresinin arkasındaki özel IP adreslerini görememesi nedeniyle belirli bir cihazı tanımlamasını ve saldırmasını zorlaştırır.

3. Kaba kuvvet saldırılarını önlemek

NAT, dahili ağı hedef alan kaba kuvvet saldırılarının önlenmesine yardımcı olabilir. NAT, istenmeyen trafiği engelleyerek bir saldırganın farklı şifre kombinasyonlarını denemesini veya dahili cihazlardaki güvenlik açıklarını aramasını engeller.

Güvenlik duvarı olarak NAT'ın sınırlamaları

Bu avantajlara rağmen NAT'ın temel bir güvenlik duvarı olarak sınırlamaları vardır:

1. Paket denetiminin eksikliği

Özel bir güvenlik duvarından farklı olarak NAT, içinden geçen veri paketlerinin içeriğini incelemez. Bu nedenle, izin verilen trafikte gizlenen kötü amaçlı yazılımları, virüsleri veya diğer tehditleri tespit edemez veya engelleyemez.

2. Gelişmiş güvenlik politikalarının eksikliği

NAT, uygulama kontrolü, web içeriği filtreleme veya izinsiz girişleri önleme gibi gelişmiş güvenlik politikalarının uygulanmasına izin vermez. Bu özellikler, dahili ağı daha karmaşık tehditlerden korumak için gereklidir ve özel güvenlik duvarlarında mevcuttur.

3. İçeriden gelen saldırılara karşı sınırlı koruma

NAT, dış tehditlere karşı korumaya odaklanır, ancak iç ağı hoşnutsuz çalışanlar veya virüslü cihazlar gibi içeriden başlatılan saldırılara karşı koruyamaz. Özel bir güvenlik duvarı bu konuda ek koruma sağlayabilir.

NAT saldırıya uğrayabilir veya ihlal edilebilir mi?

Evet, NAT temel bir güvenlik katmanı sağlasa da kusursuz değildir ve belirli saldırı türlerine veya bilgisayar korsanlığı tekniklerine karşı savunmasız olabilir. Aşağıda NAT'ın tehlikeye girebileceği yollardan bazıları verilmiştir:

1. NAT tablosu taşma saldırıları

NAT cihazları, dahili IP adresleri ile genel IP adresi arasındaki eşlemeleri içeren bir adres çeviri tablosu tutar. Bir saldırgan, NAT tablosunu birden fazla yanlış istekle doldurmaya çalışabilir, bu da tablonun taşmasına neden olabilir ve NAT cihazının kaynaklarını tüketebilir. Bu, hizmet reddine (DoS) neden olabilir veya saldırganın dahili ağa erişmesine izin verebilir.

2. Yansıma ve güçlendirme saldırıları

Bu tür saldırıda saldırgan, kurbanın genel IP adresini kaynak adresi olarak kullanarak savunmasız sunuculara sahte istekler gönderir. Sunucular, kurbana yönelik büyük miktarda veriyle yanıt vererek hizmet reddine (DoS) neden olur. Bu senaryoda NAT'ın güvenliği doğrudan ihlal edilmese de, paylaşılan genel IP adresiniz bu tür saldırıları başlatmak için kullanılabilir.

3. Protokolün uygulanmasındaki güvenlik açıkları

Bazı NAT uygulamaları, Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) veya Güvenli Köprü Metni Aktarım Protokolü (HTTPS) gibi belirli protokolleri işleme biçiminde güvenlik açıkları içerebilir. Bu güvenlik açıklarından yararlanan bir saldırgan, iç ağa erişim sağlayabilir veya hassas bilgilere müdahale edebilir.

4. Açık bağlantı noktalarına kaba kuvvet saldırıları

NAT, bireysel cihazların tanımlanmasını zorlaştırsa da, çevrimiçi oyun hizmetleri veya görüntülü arama uygulamaları gibi bazı bağlantı noktaları belirli gelen bağlantılara izin vermek için açık olabilir. Bir saldırgan, kaba kuvvet saldırıları yoluyla veya bunları kullanan uygulamalardaki güvenlik açıklarını arayarak bu açık bağlantı noktalarından yararlanmaya çalışabilir.

MikroTik RouterOS'a örnekler

MikroTik cihazında NAT güvenliğini artırmak için aşağıdaki ayarları uygulayabilirsiniz:

Örnek 1: Güvenlik duvarında paket filtreleme

Güvenlik duvarındaki paket filtreleme, yetkisiz trafiğin engellenmesine ve dahili ağın korunmasına yardımcı olur. Yalnızca gerekli trafiğe izin vermek ve geri kalanını engellemek için MikroTik güvenlik duvarındaki kuralları yapılandırabilirsiniz.

Ayar:

MikroTik cihazınızın web arayüzüne erişin veya Winbox'ı kullanarak yönlendiricide oturum açın.
“IP” > “Güvenlik Duvarı” > “Filtre Kuralları”na gidin ve yeni bir kural eklemek için “+” düğmesine tıklayın.
Dizeyi “input” ve protokolü “tcp” olarak ayarlayın. Engellemek istediğiniz bağlantı noktası aralığını “Dst.msc” alanına girin. Liman."
Bu kuralla eşleşen paketleri bırakmak için eylemi "bırak" olarak ayarlayın.
Gerektiğinde ek kurallar eklemek için 2-4 arasındaki adımları tekrarlayın.
Kuralların doğru şekilde sıralandığından ve "izin ver" kurallarının "engelleme" kurallarından önce geldiğinden emin olun.

				
					# Reemplaza "tcp_ports" con el rango de puertos que deseas bloquear, por ejemplo, "80,443"
:local tcp_ports "tcp_ports"

/ip firewall filter
add chain=input protocol=tcp dst-port=$tcp_ports action=drop comment="Bloquear puertos específicos"

Örnek 2: Saniyedeki yeni bağlantı sayısını sınırlayın

Saniyedeki yeni bağlantı sayısını sınırlamak, MikroTik cihazınızı NAT tablo taşması saldırılarına karşı koruma tekniğidir. Bu ayar, bir saldırganın cihazınıza sahte istekler yağdırması riskini azaltır.

Ayar:

MikroTik cihazınızın web arayüzüne erişin veya Winbox'ı kullanarak yönlendiricide oturum açın.
“IP” > “Güvenlik Duvarı” > “Filtre Kuralları”na gidin ve yeni bir kural eklemek için “+” düğmesine tıklayın.
Zinciri "ileri" ve protokolü "tcp" olarak ayarlayın.
“Gelişmiş” sekmesinde, “tcp flags”ı seçin ve “Bayraklar”da “syn” kutularını ve “Bayrak Yok”ta “syn,!ack,!fin,!psh,!rst,!urg” kutularını işaretleyin.
Saniyedeki yeni bağlantı sayısını sınırlamak için "Ekstra" sekmesinde "Sınır" alanına düşük bir değer girin (örneğin, 10/s).
Bu kuralla eşleşen paketleri bırakmak için eylemi "bırak" olarak ayarlayın.
“Filtre Kuralları” listesinde kuralların doğru şekilde sıralandığından emin olun.

				
					# Reemplaza "10" con el número de conexiones nuevas por segundo que deseas permitir
:local connections_limit "10"

/ip firewall filter
add chain=forward protocol=tcp tcp-flags=syn connection-state=new action=drop limit=$connections_limit,s src-address-list=!allowed comment="Limitar conexiones nuevas por segundo"

Yapılandırmaları uygulamadan önce değerleri ihtiyaçlarınıza ve güvenlik gereksinimlerinize göre özelleştirdiğinizden emin olun.

Kodu MikroTik cihaz terminalinize girdikten sonra “IP” > “Güvenlik Duvarı” > “Filtre Kuralları” bölümündeki kuralları kontrol ederek doğru bir şekilde uygulandıklarından emin olun.