セキュリティレイヤーとしてNATは重要ですか？

大学で/ 16ネットブロックを使用して7年間過ごし、特にネットブロック上に置くことを禁止されていなかったすべてのもの（PCI-DSSはこれを修正するまでこれを必要としていました）を使用したので、ネットワークに関するいくつかの経験があります。この性質の。

NATは必要ありません。すべてのNATは、ネットワークの再調整を少し難しくし、エンティティをデフォルトでより安全な姿勢にします。つまり、安全なネットワークを構築することは完全に可能ですパブリックIPアドレス上。技術的にルーティング可能なサブネットがいくつかありましたが、境界ファイアウォールの外側には到達できませんでした。

今、あなたの他のポイントのために：

IT部門に依頼してください。既存のファイアウォールがどこにあっても、WANアクセス可能な各IPへのすべての着信トラフィックをブロックします

これはデフォルトで行われるべきです。私の古い大学では、Student Computer Labステーションはインターネットからアドレス指定できる必要はありませんでした。 Student Health Centerデータを保持するサブネットについても同様です。なんらかの理由でマシンを外部から見えるようにする必要がある場合は、許可する前に電子文書を渡して署名する必要がありました。一元化されたITスタック内のサーバーについてもです。

部門のLANをインターネットから完全に分離してください。ユーザーは、電子メール、インターネット、および時間追跡システムにアクセスするための専用マシンを共有する必要があります。

ここまで行く必要はありません。ここまで行く理由は、マルウェア関連の情報漏えいの恐れがネットワークベースのリソースへの接続の必要性よりも高い場合です。昨今、物事はますますクラウド/ネットワークベースになっているため、そのようなエアギャップネットワークは維持管理がますます難しくなっています。本当にこの程度に移動する必要がある場合は、アプリケーション仮想化オプションのいくつかを調べてみてください。これにより、違反が発生した場合の露出を制限できます。

他の人が指摘したように、NAT これはセキュリティ機能ではありません。ただし、副産物としてある程度のセキュリティを提供します。NATの副作用は、「外部から」内部マシンにアクセスできないことです。同じ効果は、すべての着信接続をブロックするファイアウォールによって実現できます。これはきめ細かいものではありませんが、実際にはかなり効果的です。NATに「自動」保護が備わっていなければ、より多くの既存のネットワークが攻撃され、スパムリレーにゾンビ化されます（これは恐ろしい点です）ちなみに、IPv6について：IPv6は、[広く]展開された場合、NATの保護効果を無効にする傾向があり、攻撃の成功率の平均的な増加が期待できます）。

ファイアウォールが適切に構成されていると、ファイアウォールを構成する人は誰でも正しく機能することが想定されますが、残念ながらそれは与えられていません（特定のIT部門の能力を推測するのではなく、特に大規模な組織では、世界中のIT部門はスリル満点です。もう1つの方法は、パブリックにアクセスできるすべてのマシンが着信接続に関連するあらゆる種類の攻撃に抵抗できるようにすることです。不要なサービスをすべて閉じ、開いたままのサービスが適切に最新で適切に構成されていることを確認してください。すべてのワークステーションにセキュリティアップデートを適用したいですか？そして、ネットワーク対応プリンタのファームウェアはどうですか？

私のアドバイスは、独自のフィルターボックスをインストールすることです。これにより、ネットワークと外界との間のすべての通信が行われます。そのボックスは、着信接続をフィルターで除外する必要があります。 NATまたはファイアウォール、あるいはその両方です。 NATは、特にIT部門が「非協力的」である場合に、より簡単になる場合があります。

（静的NATとは対照的に）マスカレードについて：

シスコ

• '...別のテーブルが構成されていない限り、他のポートの着信接続を「リバースマップ」することはできません'

• '.... NATは、サイトのセキュリティアーキテクチャのコンポーネントとしての役割に配置することができ、外部から内部ネットワークへの攻撃からの保護を提供します。'

Sans

• '...防御の優れた最初の層...まだハッキングされる可能性があります。しかし、ハッカーはローカルシステムのブリッジヘッドとして使用するために内部システムの1つを危険にさらす必要があります'
  （Daniel Crider、SANS Institute、InfoSec Reading Room、2001-11-22、ITプロフェッショナルのホームネットワークに対する6層防御、5ページ）

[〜＃〜] ibm [〜＃〜]

• '範囲NATを開始するには、トラフィックを内部で開始する必要があるため、ネットワークの外部で開始される通信からパソコンを保護します'

いいえ、これはファイアウォールの代用でも、セキュリティソリューションの他の部分でもありません。システムの整合性を強化します。

NATはセキュリティレイヤーとして重要ではなく、セキュリティを提供するとは考えないでください（それが誤ってより安全になった場合でも）。

HIPPAへの準拠については知りませんが、PCIへの準拠には、クレジットカード情報にアクセスするコンピューターに対して非常に具体的な設定が必要です。最初にHIPPA要件を満たすように設計してから、追加のセキュリティ対策を設計する必要があります。 PCIコンプライアンスの冗談は、コンプライアンスが罰金のリスクを軽減するということですが、必ずしもセキュリティ攻撃のリスクを軽減するわけではありません。

HIPPAルールは、HIPPAデータにアクセスできるコンピューターをどのように処理する必要があるかを通知する場合があります。

私はNATとポート転送について少し知っていますが、David Schwartzが書いたことのほとんどに同意しません。それは彼が少し無礼だったからかもしれません私の答えの2番目の段落を読んでください。

NATはすべてに対する答えではありません。外部の関係者がサービスに接続するのを難しくするだけです。ほとんどのNAT実装はポートごとに変換を行い、着信パケットのホストが認識されない場合、NAT従うべきルールがないため、拒否されますこれにより、サーバークライアントに接続するために接続しただけで、まだいくつかの穴が残っています。

より重要なのは、外部接続だけでなく内部接続からも自分を保護することです。 NATは、このようにして誤ったセキュリティを提供します。USBスティックからのバグは1つだけ必要であり、接続を転送して全員を許可することができます。

IPスペースに関係なく、接続を許可されたものに制限する必要があります。ワークステーションは通常、SQLサービスへの接続を許可されるべきではありません。個人的には、ステートフルなファイアウォールは好きではありませんが、それぞれが独自のファイアウォールを好みます。私はルータータイプの人ですすべてのパケットをドロップしてください

NATに関するこのスレッドのすべての応答は、NATの重要な側面を無視します。NATの実装は、内部のプライベートを作成しますルーティング不可アドレス範囲。「ルーティング不可」という用語は重要です。ハッカーは組織のネットワークデータストリームを引き出すことを好み、パブリックアドレス範囲でローカルの内部ネットワークトラフィックを操作することは、多層防御の概念全体が非常に重要であることを意味しますなぜanyoneはローカルトラフィックをグローバルインターネットにルーティングできるようにする条件を作成したいのですか？簡単にするために、悪意のある攻撃者がデバイスをハッキングしてルートを追加する可能性があります-なぜあなたは与える内部ネットワークのデータストリームをバックホールするために、そのような個別のハードルが1つ少なくなりますか？

別の言い方をすれば、HIPAA違反から訴訟が発生した場合、どのlunaticが法廷に立ち、ハッカーに機密情報への直接のフライトを提供することが賢明な決定であると宣誓することができますか？自宅のワイヤレスルーターメーカーは、法定により、「確かに-サイコロを振る...私たちが事件を擁護する10年間の法的予算を削減する必要があるため、慣習的なデフォルトとしてNAT個人の住宅用システムを無数の世帯に（基本的に）ズボンを足首の周りに置いたままにしておきます」

適切な静的または動的NATまたはPATをベストプラクティスとして構成するための時間が取れない、または時間を取らないため、実装を言い訳するだけの人が多すぎると思います。不必要なあざけりを避けてください- jail連邦基準を無視して時間。連邦医療保険を受け入れる場合、NISTの最小値はrequiredです。特定の技術異常値についてのエレガントな例外については、必要なすべてについて議論してください。だれでも、環境をより脆弱にするのは良い考えです。仮説は別として、正しいことを行うdoesより多くの時間と労力がかかります...しかし、正しいことを選ぶのが最善の場合があります。

NATはファイアウォールです。そしてそれは意見ではありません。それは事実です。ファイアウォールの定義を調べます。

ファイアウォールは、「2つ以上のネットワーク間の境界を強制するシステムまたはシステムの組み合わせ」です。

National Computer Security Associationの標準ファイアウォール機能概要テンプレート

A NATは、まさにそのような境界を作成します。

他のファイアウォールが提供する可能性があるのは、着信接続だけでなく、発信接続をブロックする機能です。素晴らしい機能ですが、主な機能ではありません。

機能について言えば、DMZはネットワーク間の穴です。通常、内部サービスをインターネットに公開する方法を提供します。技術的にはNAT =定義、それは現代のすべてのNATの機能です

NATはファイアウォールであり、状況によっては最良のものです。 NATを実行しないステートフルインスペクションファイアウォールは、主に「フェールオープン」を実行します。私は「次世代ファイアウォール」の会社で開発者として働いていました。プロトコル/アプリケーションの検出をインラインで実行するには、一部のパケットが検出されるまで通過する必要がありました。遅延を導入することなく、それをバッファリングする方法はありませんでした。ほとんどすべてのDPIソリューションはそのように機能します。

一方、NATはクローズに失敗します。よくある間違いは、インターネットからのアクセスを開くのではなく、インターネットへのアクセスを遮断することです。

あなたの質問に関して、「悪臭を放ちますか？」リスク評価（問題、確率、影響、緩和）を文書化し、利害関係者に提示することをお勧めします。連絡せずに孤独な決断を下し、重大な違反がある場合、それはあなたにとって不十分な前兆になるかもしれません。