Защищает ли nat от вирусных атак
Интересует такой вопрос.
Является ли (в настоящее время) NAT препятствием для атаки из интернета (имеется в виду сканирование и ддос)? И еще: есть ли разница, сколько NAT-ов отделяют интернет от локалки предприятия?
ну если так прикинуть - пришел "односторонний" (в смысле не вызван запросом клиента за натом) пакет на wan роутера, куда его роутер должен отправить? :)
> Является ли ..NAT препятствием для атаки
> из интернета
Не является. И не являлась.
NAT- это всего лишь технология, и у нее иные задачи.
Под *nix и пакетные фильтры в принципе объединены. NAT может защитить внутреннюю сеть от атаки. Т.К не даёт прямого доступа к ней.
> NAT может защитить внутреннюю сеть от атаки
Но никак не защищает хост, на котором работает сама NAT.
Защита от упомянутых атак - задача файрволов и пакетных фильтров.
> Является ли (в настоящее время) NAT препятствием для атаки
> из интернета
> miek (25.07.2008 12:07:00) [0]
НАТ к этом отношения не имеет, СОВСЕМ, вопрос абсурден.
Наверное имеется ввиду, что случайно, на внешний ИП:порт, которому в данный момент в динамической таблице трансляции есть реально сопоставленный внутренний ИП:порт - придет бяка .
Фух, витиевато закрутил.
Она и без НАТа придет)
> есть реально сопоставленный внутренний ИП:порт - придет
> бяка .
Обязательно придет, автор сам сказал это.
> имеется в виду сканирование и ддос
Только НАТ то при чем тут. НАТ то не здесь, а там (с) Черномырдин.
Просто под НАТом частенько подразумевают не собственно НАТ, а весь комплекс технологий, присущих полноценному межсетевому экрану - фильтация, маршрутизация, собственно трансляция сетевых адресов, UPnP-сервис и т.д.
спасибо за ответы. еще один вопрос: можно ли извне (из интернета) просканировать порты компьютера, заходящийся за 3-мя роутерами с НАТ (прокси-сервер, адсл-модем, прокси провайдера)?
> miek (28.07.2008 11:00:11) [11]
miek (28.07.08 11:00) [11]
сканировать нинадо - это накладно.
напесадь заразу которая на localhostе жертвы все выяснит и вышлет по указанному адресу - дешевле.
а передать заразу можно многими путями
Ты вообще к чему гнешь ?
Давай уже почесноку - что учудить-то затеял ?)
Если страшно, вынь кабель и надень на кончик презерватив.
Прокси, они разные. Если прокси HTTP, то сканирование я слабо представляю .
> isasa (28.07.2008 22:39:15) [15]
HTTP-Прокси к НАТ не имеет отношения, как и к сканированию, чего то не видимого снаружи.
>Давай уже почесноку - что учудить-то затеял
ничего. просто интересно было, есть ли принципиальная возможность просканировать меня, сидящего в локалке за тремя нат.
> miek
> 3-мя роутерами с НАТ (прокси-сервер, адсл-модем, прокси
> провайдера)
Ни одно из перечисленных тобой устройств не обязано являться устройством, реализующим NAT-функциональность.
> miek (29.07.2008 9:11:17) [17]
Вон проскакал неуловимый Джою
>не обязано являться
в данном случае я точно знаю, что все три - являются.
HTTP-Прокси к НАТ не имеет отношения, как и к сканированию, чего то не видимого снаружи.
:)
Это не я так думаю, это, судя по [11] топикстартер так думает .
"Смешались в кучу, кони, люди . "
miek (29.07.08 09:11) [17]
ничего. просто интересно было, есть ли принципиальная возможность просканировать меня, сидящего в локалке за тремя нат.
:)
Не, ну это фобия какая то.
Поставь софтовый файрволл, типа OutLook-а, или Kerio Personal. Он скажет, когда писец .
Откровение с небес свалилось ?
Трындишь ведь и не краснеешь)
господа, если вам есть что сказать - вы скажите, не надо соревноваться в том кто лучше пнет упиваясь осознаем того, что вы кое что знаете в этой области, а собеседник - нет.
Здесь не ликбез по сет.администрированию.
Автор безапелляционно утверждает "я точно знаю".
NAT <> прокси-сервер
NAT <> адсл-модем,
NAT <> прокси провайдера
Но, в то же время, современная NAT действительно есть посредник (прокси, proxy) при межсетевом взаимодействии на основе IPv4.
Эра IPv6 туманна в своей перспективе, но она призвана быть могильщиком всей этой НАТ-свистопляске)
> Здесь не ликбез по сет.администрированию.
А почему бы и нет, совсем даже ликбез, но не форум, да. "Прочее", околокомпьютерная тематика, никто никого не заставляет отвечать. А то иногда такое чуйство, что отвечающие нехотят отвечать потому что за такие ответы где то платят, а вот тут никто не заплатит - работа забесплатно, типа :)
Мне вот интересно было, что скажут знающие люди в теме про роутер и светодиод, жаль тему удалили, стало действительно интересно, пошел выдернул из циски кабель, для проверки :)
>
> Автор безапелляционно утверждает "я точно знаю".
и? плохо точно знать, что адсл-модем с НАТом?
> плохо точно знать, что адсл-модем с НАТом?
Нет в модемах никаких НАТов)
Модем это модем, а НАТ это НАТ)
ширше надо смотреть, ширше :)
сейчас модемы такие прикольные, не только в себе НАТ имеют, но и дхцп, фаервольчег, фильтры по пакетам и прочую мишуру. Правда называются роутеры, но "по-народному" модемы :)
> что скажут знающие люди в теме про роутер и светодиод
Роутеру индефферентны светодиоды, он делает свое дело - маршрутизирует инф.пакеты.
> Роутеру индефферентны светодиоды, он делает свое дело -
> маршрутизирует инф.пакеты.
>
это лишь бы сказать? %)))))
да, не спорить ну буду, речь шла вообще то о другом :))
По-народному - это далеко не по-падонкаффски. И не по-тинейджерски.
Даже если автором под "модемом" подразумевается "прикольная" коробочка, реализующая, в т.ч., и NAT-ф-ции, то это вовсе не значит, что какие-то там "прокси" являются НАТами лишь на основании "я знаю")
А к чему в этом топике какие-то там "светодиоды" ?
Разве они имеют к НАТ реляции ?)
Или всуе, типо кажный о своем, о девичьем ?)
НАТ, любезный, есть НАТ.
Это просто Трансля[тор|ция] Сетевых Адресов, не более и не менее того.
> Даже если автором под "модемом" подразумевается "прикольная"
> коробочка, реализующая, в т.ч., и NAT-ф-ции, то это вовсе
> не значит, что какие-то там "прокси" являются НАТами лишь
> на основании "я знаю")
так, уже лучше, значит сознаем, что адсл-модемчег может быть с НАТом, осталось так же мелкими шажками дойти до того, чтобы осознать, что и на тех устройствах тоже может быть НАТ, и вполне вероятно что автор об этом знает.
Вернемся к НАТу. насколько я понимаю, при трансляции пакета через wan и ожидание на ответ он дописывает какую то информацию в него (либо у себя где нибудь, выяснять и буквоедствовать сейчас мне влом, будет поверхностно рассуждать), по которой можно идентифицировать таргет, кому же внутри сети от должен будет отдать его (ответ). Вопрос - не зная таргета (сканер сети, да и присто удар "на удачу") кому должен будет прийти пакет? Имхо очень даже похоже на то, что эта технология хоть немножко, но позволяет помешать сканированию и долбежку определенного компьютера, если не знать его точных координат. так?
> А к чему в этом топике какие-то там "светодиоды" ?
>
> Разве они имеют к НАТ реляции ?)
нет, просто это тоже немного к сетевому администрированию было, но нет, не к НАТу, более приземленные вещи :)
> буквоедствовать сейчас мне влом, будет поверхностно рассуждать
Подходим к "дну" - НАТ НАТе рознь.
Ты о какой конкретно ?
Network Address/Port translation
поговорим о том, какие разные они бывают? :)
Вот мне нравится народ. Ну и где в названии сего девайса слово модем?
DSL-524T
Маршрутизатор ADSL/ADSL2/ADSL2+ со встроенным 4-х портовым коммутатором 10/100 Мбит/с и расширенными функциями QoS.
То, что один из интерфейсов сопрягается через модем, еще не значит, что всю байду можно обозвать модемом.
По аналогии я свою железяку могу обозвать коммутатором (DI-604), хотя она коммутатор+роутер (4LAN+1WAN).
На коробке написано Internet Broadband Router, а то, что один порт RJ-45, или RJ-11 это детали реализации. Есть модификации с добавленной WiFi точкой доступа .
Последние эпидемии вирусов-шифровальщиков Wannacry и Expetya, широко освещавшиеся средствами массовой информации, еще раз показали, что даже в больших корпоративных сетях существуют проблемы недостаточной готовности используемых средств защиты от информационных угроз к вирусным атакам. Еще хуже ситуация в среднем и малом бизнесе, небольших государственных и ведомственных сетях, образовательных учреждениях, бюджеты которых на информационную безопасность зачастую выделялись только на антивирусное ПО для рабочих станций, что уже недостаточно для защиты от современных угроз.
В настоящее время разработчики вредоносных программ повсеместно используют практику предварительного тестирования собственного ПО на обнаружение десятками антивирусов. Поэтому надеяться на эвристические алгоритмы антивирусов и проактивную защиту, как правило, не приходится. А сигнатуры вредоносных программ попадают в базы данных антивирусов лишь через несколько часов после начала крупномасштабных эпидемий. На зараженных же устройствах работа антивирусов к этому времени будет уже заблокирована вирусами или клиентами ботнетов.
Поэтому оценки общего ущерба от интернет-преступности для мировой экономики, которые приводит международная исследовательская компания Allianz Global Corporate & Specialty, не удивляют. За 2016 год она оценила общий ущерб от интернет-преступности для мировой экономики (включая прямые потери, недополученную прибыль и расходы на восстановление систем) в более чем 575 млрд долларов. Это около 1% мирового ВВП.
Можно выделить следующие основные угрозы информационной безопасности:
- Шифровальщики.
- Ботнеты.
- Фишинг.
- Атаки на веб-приложения.
- Уязвимости в популярных операционных системах.
- Уязвимости в прикладном ПО (офисные приложения, браузеры и др.).
- Нецелевые атаки (массовые атаки на уязвимое ПО, обнаруженное сетевыми сканерами или "черными поисковиками").
- Таргетированные (целевые) атаки.
Эшелонированная оборона
Разумным ответом на возрастающие угрозы является усиление защиты на сетевом уровне. Защита периметра сети и сегментирование локальной сети (разделение на несколько подсетей с обязательной фильтрацией межсегментного трафика) позволяет не допустить проникновение вирусов внутрь защищенного контура или предотвратить полное заражение сети и критически важных блоков (компьютеров финансового отдела, бухгалтерии, серверов баз данных, бекапов, систем управления производственными процессами).
Естественно, для борьбы с современными угрозами необходимы современные средства защиты.
Простого межсетевого экрана с возможностью блокировки портов и протоколов сетевого уровня, преобразования сетевых адресов с помощью Network Address Translation (NAT) уже недостаточно.
Вредоносное ПО легко преодолевает периметр с помощью электронной почты, через вредоносные скрипты на веб-сайтах или с помощью эксплойтов в flash, pdf, doc и файлах других форматов.
Дальнейшее же распространение внутри локальной сети вирус Wannacry осуществлял уже через уязвимости в реализации SMB-протокола в операционной системе Windows.
На смену простым роутерам и межсетевым экранам в середине 2000-х пришли многофункциональные интернет-шлюзы (Multi-Service Business Gateway (MSBG)), имеющие ряд функций безопасности (межсетевой экран, контент-фильтр и другие), но и перегруженные бизнес-функциями, такими как веб-сервер, сервисы телефонии, Jabber, FTP и файловые серверы для сетей Microsoft. Как правило, обилие модулей предоставляет злоумышленникам целый ряд дополнительных векторов атак на данный тип ПО, как DoS, так и прямых взломов, когда через уязвимость веб-сервера злоумышленник может захватить контроль над устройством, и следовательно, над всей корпоративной сетью.
Современные решения безопасности для защиты сетевого периметра сформировались в категории шлюзов безопасности (Unified Threat Management (UTM)) и межсетевых экранов нового поколения (Next-Generation Firewall (NGFW)).
Различие между UTM и NGFW - вопрос дискуссионный. Основное их отличие от устаревших типов решений - наличие систем глубокого анализа трафика (Deep Packet Inspection (DPI)). Именно такой анализ позволяет выявить угрозы в обычном типе трафика: HTTP/HTTPS-сессиях, DNS-запросах, почтовых сообщениях - и обнаружить в трафике следы вредоносной активности, анализируя ошибки сетевых протоколов, частоту и характер сетевых соединений, обращения к подозрительным или скомпрометированным ресурсам. Администратору же устройства и ПО подобного типа предоставляют широчайшие возможности по управлению трафиком: возможность контентной фильтрации интернет-ресурсов, трафика приложений (включая потенциально опасные: TOR, BitTorrent, TeamViewer, анонимайзеры и другие программы удаленного доступа), а также логируя любую подозрительную сетевую активность.
Данный вопрос актуален не только для специалистов, выбирающих подобный тип решений для обеспечения безопасного доступа в интернет и защиты от различного типа угроз, но и для производителей решений в области сетевой безопасности.
Наш десятилетний опыт разработки решений класса UTM говорит о том, что данный тип решений должен обладать следующими свойствами:
- Решение должно быть безопасным.
Само по себе не предоставлять злоумышленникам дополнительные векторы атак. Не организовывайте на интернет-шлюзе файловый или веб-сервер. Слишком велик риск потери данных и компрометации данного сервиса. - Оно должно быть современным.
Не использовать устаревшие технологии, протоколы, подходы. Ни в коем случае не используйте на серверах для выхода в интернет операционную систему Windows: она наиболее уязвима для различного вида атак - и любое ПО, основанное на данной ОС: Microsoft TMG, Traffic Inspector, Usergate Proxy&Firewall, Kerio WinRoute, Traffpro. - Решение должно быть простым.
С оптимальными настройками по умолчанию и невозможностью небезопасной настройки. Администратор может не иметь соответствующей квалификации, у него может не быть времени на информационную безопасность, в конце концов, у вас может не быть собственных ИТ-специалистов в штате. Решение должно предусматривать получение современных настроек системы безопасности с обновлениями ПО и автоматически поддерживать высокий уровень собственной защищенности и жесткий уровень фильтрации опасного трафика. - Оно должно быть комплексным.
Обеспечивать защиту от широкого спектра устройств. Использование большого количества узкоспециализированного ПО или аппаратных комплексов будет неудобным, даже если они объединены общей консолью управления.
Рекомендации по защите
Обязательно используйте потоковую проверку трафика на вирусы. Это поможет блокировать вредоносные скрипты на сайтах, зараженные файлы и другие опасные объекты еще до их попадания на пользовательские устройства.
В Ideco ICS для проверки веб-трафика используется антивирус ClamAV или антивирус Касперского, в зависимости от доступного по лицензии. Антивирусный модуль от "Лаборатории Касперского" предоставляет более высокий уровень защиты, а антивирус ClamAV доступен даже в бесплатной редакции Ideco SMB и обеспечивает базовую проверку трафика.
Клиенты ботнетов, вирусы и шифровальщики часто пытаются обойти системы фильтрации и сохранить анонимность своих командных центров, используя для связи сеть TOR или другие анонимайзеры.
Обязательно заблокируйте эти возможности обхода систем фильтрации и анализа трафика, закрыв способы для удаленного управления злоумышленниками вредоносным ПО.
В Ideco ICS есть все возможности по блокировке данного типа трафика, описанные в соответствующей статье документации.
Загрузка активного содержимого троянских программ, их общение с командными центрами чаще всего происходит по протоколам HTTP/HTTPS, открытым в корпоративных сетях. Поэтому фильтрация трафика, включая обязательно HTTPS, необходима для предотвращения проникновения в сеть вредоносного ПО.
Особую опасность представляют фишинговые ресурсы. Маскируясь под страницы легитимных сайтов: интернет-банков, веб-почты и других - они обманным путем пытаются завладеть учетными данными пользователя. Блокировка подобных доменов на уровне шлюза поможет пользователям сохранить свои учетные данные и предотвратит возможные финансовые и репутационные потери.
При использовании расширенного контент-фильтра в Ideco ICS мы рекомендуем заблокировать следующие категории трафика:
- Анонимайзеры (веб-прокси и другие способы обхода системы контентной фильтрации).
- Ботнеты.
- Взлом (веб-сайты, содержащие хакерское ПО и утилиты).
- Тайный сбор информации (блокирует активность adware и шпионского ПО).
- Спам (веб-сайты, рекламируемые при помощи спама, часто пытаются атаковать компьютеры пользователей).
- Центры распространения вредоносного ПО.
- Центры управления и контроля (командные центры ботнетов).
- Фишинг/мошенничество.
- Порнография (зачастую подобные ресурсы содержат опасное содержимое и вредоносные скрипты).
- Шпионское и сомнительное ПО (сайты, содержащие ссылки на шпионское ПО, клавиатурные шпионы).
Инструкция по настройке контент-фильтра в Ideco ICS доступна в документации.
Один из важнейших модулей глубокого анализа трафика, который позволяет заблокировать попытки применения известных эксплойтов с помощью сигнатурного и статистического анализа трафика, также он ведёт журналирование инцидентов безопасности и различных аномалий.
Кроме того, в Ideco ICS данный модуль обладает расширенной функциональностью, включающей в себя:
- Блокировку анонимайзеров (плагинов к популярным браузерам, турбо и VPN-режимов браузеров).
- Блокировку телеметрии Windows (сбора информации об использовании ПО и пользовательской активности).
- Блокировку известных IP-адресов злоумышленников, "хакерских" хостингов и зараженных хостов по обновляемой базе IP Reputation.
Активация данного модуля существенно повышает общую безопасность сети и сервера.
Еще один модуль глубокого анализа (DPI) трафика. Администраторам рекомендуется запретить трафик приложений удаленного доступа (TeamViewer, AmmyAdmin) для тех пользователей, у которых нет необходимости в подобном ПО для рабочих целей.
Злоумышленники, применяя методы социальной инженерии (обманным путем), могут заставить пользователя предоставить доступ к хостам внутри сети с помощью подобного программного обеспечения.
Известны случаи проникновения злоумышленников в защищенные банковские сети таким, на первый взгляд, простым способом.
Email-адреса сотрудников, как правило, можно очень легко найти на сайтах компаний, поэтому электронная почта является наиболее частым вектором атаки злоумышленников. Многоуровневая проверка почтового трафика необходима для предотвращения попадания в сеть вредоносного ПО, фишинга и спама.
Обязательно настройте на корпоративном сервере электронной почты следующие параметры фильтрации:
- Проверку SPF-записи почтового домена. Она не позволит злоумышленникам выдавать свои письма за письма из налоговой инспекции, банка и с других известных доменов, которым доверяют пользователи.
- Проверку корректности DKIM-подписи. Большинство корпоративных почтовых серверов (у сервера Ideco ICS также есть эта возможность) используют DKIM-подписи для подтверждения сервера отправителя и предотвращения использования домена в фишинговых целях.
- Используйте проверку ссылок в письмах на фишинг (в Ideco ICS такая проверка осуществляется модулем Касперский Антифишинг, входящего в состав Антиспама Касперского).
- Обязательно проверяйте вложения на вирусы на этапе приема их почтовым сервером (в Ideco ICS для этого можно использовать антивирус ClamAV и Антивирус Касперского).
В схеме фильтрации почтового трафика в Ideco ICS большая часть данных настроек включена по умолчанию и не требует конфигурирования. Как и защита почтового сервера от DoS-атак злоумышленников, грозящих недоступностью столь важного для корпоративной работы сервиса.
Вредоносное ПО может использовать разрешенный трафик по 53 UDP-порту для общения со своими командными центрами. Подмена же ответов DNS-сервера или прописывание собственного DNS-сервера в сетевых настройках устройства предоставляет злоумышленникам широчайшие возможности для фишинга. При этом пользователь будет заходить в браузере по адресу своего интернет-банка, но в действительности это будет очень похожая страница, созданная злоумышленниками.
На Ideco ICS включите перехват DNS-запросов в настройках DNS-сервера. И используйте безопасные фильтрующие DNS-сервера: SkyDNS или Яндекс.DNS. Это позволит блокировать обращения к доменам, созданным злоумышленниками, уже на уровне резолвинга DNS-адреса и предотвратит туннелирование и маскировку DNS-трафика вредоносным ПО.
Вопрос скорее теоретический:
Есть аппаратный маршрутизатор на ZyOS (да, это Зухель). NAT присутствует, но фаервола в коробке нет. Вроде бы нет дыр (прошивка последняя). Открыты пара портов.
К маршрутизатору по локалке подключена домашняя сеть. Все машины со своими фаерволами, установлены последние патчи безопасности etc.
Но если у вас паранойя — это ещё не значит, что за вами не следят.
Возможно ли проникновение в домашнюю сеть при таких условиях (мотивацию не обсуждаем) и есть ли смысл между сетью и маршрутизатором поставить фаервол (да хотя бы на iptables)? Иначе говоря, является ли недырявый NAT защитой от проникновения извне (условимся, что сервисы за открытыми портами тоже недырявые)?
Интерес скорее спортивный, но всё-таки.
| 1. Akina , 05.04.2016 15:51 |
| Значительная часть грязи приходит на станцию через легальные коннекты. Так что файрвол увеличит безопасность - особенно если будет внимательно следить ещё и за исходящими соединениями. |
| 3. vinni , 05.04.2016 17:23 |
| Akina Так что файрвол увеличит безопасность - особенно если будет внимательно следить ещё и за исходящими соединениями. ИМХО, не надо лишних иллюзий - фаервол начального уровня не в состоянии обеспечить обсуждаемую безопасность по причине невозможности проконтролировать кучу шифрованных соединений. Более-менее это в состоянии сделать системы DPI, но это сильно иной уровень. |
| 4. Akina , 05.04.2016 17:31 |
| vinni Это да. но хотя бы сам факт установления коннекта с определённым узлом он установить может. А ежели сильно попросить - так и заблокирует. |
Реально же мало кто будет целенаправленно вас пытаться взломать. Скорее всего вас постараются заразить вирусом который, например, станет частью ботнета. И хотя от заражения вы не защищены, грамотно настроенный iptables теоретически может пресечь хотя бы часть DDOS-атак в которых ваш зараженный комп может участвовать. Но надо понимать, что это будет достигнуто ценой сильного ограничения доступа в интернет, т.е. например вполне возможно что с такими жесткими правилами в iptables поиграть в онлайн-игрушку у вас не выйдет.
Как уже заметили, устройства с DPI (те же IPS/IDS) могут помочь не только заблокировать распространение вируса, но и помочь вам им не заразиться (например заблокировав доступ к сайту, который известен как распространитель вирусов), но это совершенно иной ценовой диапазон и не подходит для домашнего пользования.
| 7. Куссмауль , 06.04.2016 11:41 |
| Gesha24 Возможно в этом конкретном Зухеле нету возможности настраивать правила файрвола, но это скорее всего решение маркетологов, само железо это поддерживает Фаервол там не заявлен, в вебморде никак не обнаруживается и в командной строке не настраивается. Фактически — его нет. Теперь идем дальше - в большинстве случаев никто проникать извне в вашу систему не будет - сложно это. Хотя бы теоретически возможно из хулиганских побуждений или "потренироваться". Но это уже скорее из области психологии. Намного проще убедить вас самому установить вирус - будь то кликом на баннере, или включением найденного на улице USB-устройства, или еще чем (методов массу). Для инета есть отдельная виртуалка на линуксе плюс баннерорезка, а включать найденную флешку куда попало точно не буду (автозапуск тоже отключаю). Но вирусы — это отдельная статья, здесь меня интересует именно непробиваемость NAT-а. Возможно, я не так сформулировал вопрос: насколько NAT непробиваем извне (допустим, он уже недырявый и нет открытых портов)? Вирусы и прочее воздействие изнутри здесь не рассматриваем. |
| 8. Musik , 06.04.2016 14:49 |
| Куссмауль насколько NAT непробиваем извне (допустим, он уже недырявый и нет открытых портов)? Вирусы и прочее воздействие изнутри здесь не рассматриваем Это то же самое, что не иметь NAT за ненадобностью, раз уж нет исходящих соединений, и в таких условиях NAT на 100% непробиваем. Может, Вы переформулируете еще раз? |
| 9. Куссмауль , 06.04.2016 14:54 |
| Musik Вариант с отсутствием открытых наружу портов (нет входящих соединений) — исходящие как раз есть (все в корпоративной сети ходят в инет через шлюз). А вот предоставляемых наружу сервисов как раз нет — это именно вышеприведенный случай. |
| 10. Gesha24 , 06.04.2016 15:59 |
| Куссмауль Фаервол там не заявлен, в вебморде никак не обнаруживается и в командной строке не настраивается. Фактически — его нет. Скажите привет маркетологам. Хотя бы теоретически возможно из хулиганских побуждений или "потренироваться". а включать найденную флешку куда попало точно не буду (автозапуск тоже отключаю) здесь меня интересует именно непробиваемость NAT-а За три года нас так и не ломанули насколько NAT непробиваем извне (допустим, он уже недырявый и нет открытых портов)? |
| 11. vinni , 06.04.2016 16:10 |
| Куссмауль насколько NAT непробиваем извне (допустим, он уже недырявый Вы используете свою собственную терминологию без объяснений. В моём понимании недырявый = "непробиваем извне". Тогда ваш вопрос - тавтология "насколько NAT непробиваем извне, если считаем что он непробиваем извне" насколько NAT непробиваем извне |
| 12. Musik , 06.04.2016 16:41 |
| Куссмауль исходящие как раз есть нет открытых портов Исходящее и есть открытый порт, и как говорят Gesha24 и vinni, остается только заиметь MITM, чтобы проникнуть внутрь сети, при этом NAT ничего и не заметит. Обратите внимание, что это точно так же справедливо в отношении любого сколь угодно навороченного файрволла. |
Поэтому он пробиваем если захотеть и грамотно подойти к вопросу.
Это я и выясняю.
vinni
Под недырявостью я подразумеваю именно отсутствие уязвимостей (какие были — все закрыты).
Задние двери, ошибки настройки и прочие "фичи, а не баги" — именно эти пути проникновения меня интересуют.
В общем: как я понял, установка фаервола после железного NAT-а будет не лишней. Кстати, узлы в домашней сети защищены встроенными фаерволами (если они есть).
Дополнительно можно поставить IDS системы Snort.
В моём случае будет виртуалка с двумя сетевыми интерфейсами — виртуальным и выделенным физическим. Отдельную физическую железку заводить нецелесообразно по финансовым причинам.
| 14. Gesha24 , 06.04.2016 17:38 |
| Куссмауль У меня, по крайней мере, не домосеть с юными кулхацкерами. Но айпишник белый. У моей бабушки комп (вин 7) стоит подключенным непосредственно к интернету с белым IP уже 4 года. И все почему-то никто его не взломал. Значит ли это что встроенный в винду файрвол надежен? Нет, не значит. Просто злоумышленники решили ломать один из других 4-х миллиардов IP-адресов. И вообще обсуждать правильную входную дверь с замками можно отдельно от выбора изоляции для электропроводки. Это я и выясняю. В общем: как я понял, установка фаервола после железного NAT-а будет не лишней. Кстати, узлы в домашней сети защищены встроенными фаерволами (если они есть). Musik |
| 15. Musik , 06.04.2016 19:01 |
| Gesha24 Если Так эт если, и на форуме всю теорию и практику популярным языком не изложить. |
| 16. RU_Taurus , 06.04.2016 20:00 |
| Куссмауль В норме ваш "белый" IP интересен только китайским ботам, которые денно и нощно перебирают эти пресловутые 4млрд. IPv4-адресов на предмет открытых портов (проброшенные порты тоже интересны) и уязвимых сервисов, которые на них висят. В худшем для вас случае ваш роутер (или один из компьютеров в домашней локалке) становится частью ботнета. Но вы об этом довольно быстро узнаете. |
| 17. Куссмауль , 07.04.2016 11:16 | ||
| Gesha24 Вам уже ответили - НАТ не является надежной защитой от хакеров по причине того что он никогда не задумывался как оная. Это мне и нужно знать. Короче, ставлю фаервол после маршрутизатора (если у вас паранойя, это не значит, что за вами не следят).
Читайте также:
 Пожалуйста, не занимайтесь самолечением!При симпотмах заболевания - обратитесь к врачу.
|