¿Qué importancia tiene NAT como capa de seguridad?

NAT y el cortafuegos son conceptos completamente ortogonales que no tienen nada que ver entre sí. Como algunas implementaciones NAT proporcionan accidentalmente algunas cortafuegos, existe un mito persistente de que NAT proporciona seguridad. Proporciona seguridad de no en absoluto. Ninguna. Cero.

Por ejemplo, una implementación de NAT perfectamente razonable podría, si solo tuviera un cliente, reenviar todos los paquetes TCP y UDP entrantes a ese cliente. El efecto neto sería precisamente el mismo que si el cliente tuviera la dirección externa del dispositivo NAT.

No piense que debido a que la mayoría de los dispositivos NAT tienen algunos cortafuegos incorporados por el diseño o algunos por accidente, esto significa que el NAT en sí ofrece seguridad. Es el cortafuegos que proporciona la seguridad, no el NAT. El propósito de NAT es hacer que las cosas funcionen.

No debe asumir que no se puede acceder a una máquina desde el exterior solo porque está detrás de un dispositivo NAT. No es accesible desde el exterior si algún dispositivo está configurado específicamente para no permitir el acceso desde el exterior, ya sea que el dispositivo tenga NAT o no.

Todas las máquinas que tienen una dirección externa pero con un firewall con estado que está correctamente configurado, administrado y monitoreado son enormemente superiores a un cuadro de SoHo NAT barato.

Muchos cuadros reales de SoHo NAT reenvían el tráfico a los hosts internos a pesar de que ningún host interno ha enviado nunca tráfico a la fuente del tráfico reenviado. El NAT permisivo realmente existe.

Después de haber pasado 7 años en una universidad con un bloque de red / 16 y haber puesto todo en ese bloque de red que no estaba específicamente prohibido (por ejemplo, PCI-DSS requería esto, hasta que lo arreglaron), tengo algunos Experiencia con redes de esta naturaleza.

NAT no es necesario. Todo lo que NAT hace es hacer que sea un poco más difícil reconocer una red, y obliga a una entidad a adoptar una postura más segura por defecto. Dicho esto, es perfectamente posible construir una red segura en direcciones IP públicas. Teníamos un par de subredes que eran técnicamente enrutables, pero nada fuera del firewall del perímetro podría llegar allí.

Ahora para sus otros puntos:

  

Solicite el departamento de TI. bloquee todo el tráfico entrante a cada IP wan accesible en cualquier cortafuegos existente que tengan instalado

Esto debería hacerse por defecto. En mi antigua universidad, las estaciones de Student Computer Lab no tenían que ser direccionables desde Internet y no lo eran. Lo mismo sucedió con las subredes que contenían los datos del Centro de Salud del Estudiante. Si una máquina tenía que ser visible externamente por alguna razón, había un documento electrónico que tenía que pasar y firmarse antes de poder otorgarlo; incluso para servidores en la pila de TI centralizada.

  

Mantenga los departamentos LAN completamente aislados de internet. Los usuarios deben compartir máquinas dedicadas para acceder al correo electrónico, Internet y al sistema de seguimiento de tiempo.

No tienes que ir tan lejos. La razón para llegar hasta aquí es si su temor a la exposición a la información relacionada con el malware es mayor que la necesidad de conectividad a los recursos basados en la red. Las cosas están cada vez más basadas en la nube / la red en estos días, por lo que estas redes con huecos de aire son cada vez más difíciles de mantener. Si realmente necesita ir hasta este punto, es posible que desee ver algunas de las opciones de Virtualización de la aplicación, ya que esto puede limitar la exposición de las infracciones en caso de que ocurran.

Como han señalado otros, NAT no es una función de seguridad . Sin embargo, ofrece cierto nivel de seguridad como un subproducto: un efecto secundario de NAT es que ninguna de las máquinas internas es accesible "desde el exterior". El mismo efecto se puede lograr mediante un firewall que bloquea todas las conexiones entrantes. Esto no es de grano fino, sino más bien efectivo en la práctica, y si NAT no incluyera esa protección "automática", muchas más redes existentes serían atacadas y zombificadas en los retransmisores de correo no deseado (por cierto : IPv6, cuando [si] se implementa ampliamente, tendrá una tendencia a anular el efecto de protección de NAT, y se puede esperar un aumento promedio del éxito del ataque).

Ahora, tener un firewall bien configurado supone que quien configura el firewall hace su trabajo correctamente y, desafortunadamente, eso no es un hecho (no quiero asumir las capacidades de su departamento de TI específico, sino la calidad promedio de el trabajo de los departamentos de TI de todo el mundo, especialmente en grandes organizaciones, es menos emocionante). La alternativa es garantizar que todas las máquinas a las que se puede acceder públicamente deben resistir todo tipo de ataques relacionados con las conexiones entrantes: cierre todos los servicios que no sean necesarios, asegúrese de que los servicios que permanecen abiertos estén correctamente actualizados y bien configurados. ¿Te apetece aplicar actualizaciones de seguridad en cada estación de trabajo? ¿Y en el firmware de las impresoras con capacidad de red?

Mi consejo sería instalar tu propia caja de filtro, a través de la cual se realizarán todas las comunicaciones entre tu red y el mundo exterior. Esa caja debería entonces filtrar las conexiones entrantes; NAT y / o firewall, esa es tu llamada. NAT puede ser más fácil, especialmente si el departamento de TI es "poco cooperativo".

Con respecto al enmascaramiento (a diferencia del NAT estático):

Cisco

• '... no es posible "revertir el mapa "conexiones entrantes para otros puertos a menos que se configure otra tabla '

• '.... Los NAT se pueden colocar en un rol como componente de la arquitectura de seguridad de un sitio, que brinda protección contra ataques lanzados desde el exterior hacia la red interna. '

Sans

• '... una excelente primera capa De defensa ... todavía puede ser hackeado. Pero ahora el pirata informático debe comprometer uno de sus sistemas internos para utilizarlo como cabeza de puente en su red local '
  (Daniel Crider, SANS Institute, InfoSec Reading Room, 2001-11-22, Una defensa de 6 capas para una red doméstica de profesionales de I.T. , página 5)

IBM

• 'protege sus computadoras personales de la comunicación que se inicia fuera de su red porque para que se inicie el rango NAT, el tráfico debe iniciarse internamente '

No, no es un subsitute para un firewall, ni para otras partes de su solución de seguridad. Mejora la integridad de sus sistemas.

NAT no es importante como capa de seguridad y no debe pensarse que proporcione ninguna seguridad (incluso cuando inadvertidamente lo hace más seguro).

No sé el cumplimiento con HIPPA, pero el cumplimiento con PCI requiere configuraciones muy específicas para las computadoras que tienen acceso a la información de la tarjeta de crédito. Debe diseñar alrededor de cumplir primero los requisitos HIPPA y luego diseñar medidas de seguridad adicionales. La broma del cumplimiento de PCI es que el cumplimiento reduce el riesgo de multas, pero no necesariamente reduce el riesgo de explotaciones de seguridad.

Las reglas de HIPPA pueden informarle cómo tiene que tratar las computadoras que tienen acceso a los datos de HIPPA.

Aunque sé un poco sobre NAT y reenvíos de puertos, no estoy de acuerdo con la mayoría de lo que escribió David Schwartz. Puede deberse a que estaba un poco descuidado. Lee el segundo párrafo de mi respuesta .

NAT no es la respuesta a todo. Solo dificulta que las partes externas se conecten a sus servicios. La mayoría de las implementaciones de NAT realizan la conversión puerto por puerto y, si no se reconoce el host en el paquete entrante, no habrá reglas NAT a seguir, por lo tanto, se denegará la conexión. Esto todavía deja algunos agujeros con el cliente del servidor recién conectado para conectarse nuevamente.

Más importante es protegerse de las conexiones internas y externas. NAT proporciona seguridad falsa de esta manera. Solo necesita un error de una memoria USB y podría haber un reenvío de conexión que permita la entrada de todos.

Independientemente de su espacio de IP, debe limitar las conexiones a las permitidas. Las estaciones de trabajo usualmente no deberían tener permiso para conectarse al servicio SQL. Personalmente no me gustan los cortafuegos de estado sino cada uno a su propio. Soy más el tipo de enrutador tipo que deja caer todos los paquetes.

NAT es un Firewall. Y no es una opinión. Es un hecho. Buscando en la definición de Firewall:

  

Un cortafuegos es "un sistema o combinación de sistemas   que impone un límite entre dos o más redes ".

Plantilla de resumen funcional de cortafuegos estándar de la National Computer Security Association

Un NAT crea exactamente ese tipo de límite.

Lo que pueden proporcionar otros cortafuegos es la capacidad de bloquear las conexiones salientes, no solo las conexiones entrantes. Bonita característica, pero no la principal.

Hablando de características, una DMZ es un agujero entre redes. Normalmente, proporciona una manera de exponer un servicio interno a Internet. Si bien no es técnicamente parte de la definición de NAT, es una característica de todos los NAT modernos

NAT es cortafuegos y en algunas situaciones, el mejor. Los cortafuegos de inspección de estado, que no hacen NAT, en su mayoría hacen "fall-open". Trabajé para una compañía de "Firewall de próxima generación" como desarrollador. Para realizar la detección del protocolo / aplicación en línea, algunos paquetes tuvieron que pasar hasta que se detectó. No había forma de amortiguarlo, sin introducir demora. Casi todas las soluciones DPI funcionan así.

NAT, por otro lado, falla cerrado. Los errores comunes cierran el acceso a Internet en lugar de abrir el acceso desde Internet.

Con respecto a tu pregunta "¿Debo hacer un mal olor?" Sugeriría que una evaluación de riesgo (problema, probabilidad, impacto, mitigación) se documente y se presente a los interesados. Si tomas una decisión en solitario sin comunicarlo y hay un incumplimiento importante, podría ser un mal augurio para ti.