NAT для безопасности сети

← →
miek (2008-07-25 12:07) [0]

Интересует такой вопрос.
Является ли (в настоящее время) NAT препятствием для атаки из интернета (имеется в виду сканирование и ддос)? И еще: есть ли разница, сколько NAT-ов отделяют интернет от локалки предприятия?

← →
antonn © (2008-07-25 12:11) [1]

ну если так прикинуть - пришел "односторонний" (в смысле не вызван запросом клиента за натом) пакет на wan роутера, куда его роутер должен отправить? :)

← →
Сергей М. © (2008-07-25 12:15) [2]

> Является ли ..NAT препятствием для атаки
> из интернета

Не является. И не являлась.
NAT- это всего лишь технология, и у нее иные задачи.

← →
tesseract © (2008-07-25 13:22) [3]

Под *nix и пакетные фильтры в принципе объединены. NAT может защитить внутреннюю сеть от атаки. Т.К не даёт прямого доступа к ней.

← →
Сергей М. © (2008-07-25 13:34) [4]

> NAT может защитить внутреннюю сеть от атаки

Но никак не защищает хост, на котором работает сама NAT.
Защита от упомянутых атак - задача файрволов и пакетных фильтров.

← →
oldman © (2008-07-25 13:35) [5]

> Является ли (в настоящее время) NAT препятствием для атаки
> из интернета

Полную гарантию может дать только страховой полис ©

← →
Anatoly Podgoretsky © (2008-07-25 14:37) [6]

> miek (25.07.2008 12:07:00) [0]

НАТ к этом отношения не имеет, СОВСЕМ, вопрос абсурден.

← →
isasa © (2008-07-25 15:52) [7]

Anatoly Podgoretsky © (25.07.08 14:37) [6]
НАТ к этом отношения не имеет, СОВСЕМ, вопрос абсурден.

Наверное имеется ввиду, что случайно, на внешний ИП:порт, которому в данный момент в динамической таблице трансляции есть реально сопоставленный внутренний ИП:порт - придет бяка ...
Фух, витиевато закрутил.

← →
Сергей М. © (2008-07-25 15:55) [8]

> isasa © (25.07.08 15:52) [7]

> на внешний ИП:порт .. придет бяка

Она и без НАТа придет)

← →
Anatoly Podgoretsky © (2008-07-25 16:04) [9]

> есть реально сопоставленный внутренний ИП:порт - придет
> бяка ...

Обязательно придет, автор сам сказал это.

> имеется в виду сканирование и ддос

Только НАТ то при чем тут. НАТ то не здесь, а там (с) Черномырдин.

← →
Сергей М. © (2008-07-25 16:21) [10]

Просто под НАТом частенько подразумевают не собственно НАТ, а весь комплекс технологий, присущих полноценному межсетевому экрану - фильтация, маршрутизация, собственно трансляция сетевых адресов, UPnP-сервис и т.д.

← →
miek (2008-07-28 11:00) [11]

спасибо за ответы. еще один вопрос: можно ли извне (из интернета) просканировать порты компьютера, заходящийся за 3-мя роутерами с НАТ (прокси-сервер, адсл-модем, прокси провайдера)?

← →
Anatoly Podgoretsky © (2008-07-28 11:06) [12]

> miek (28.07.2008 11:00:11) [11]

Можно

← →
Slym © (2008-07-28 12:48) [13]

miek (28.07.08 11:00) [11]
сканировать нинадо - это накладно...
напесадь заразу которая на localhostе жертвы все выяснит и вышлет по указанному адресу - дешевле...
а передать заразу можно многими путями

← →
Сергей М. © (2008-07-28 22:27) [14]

> miek (28.07.08 11:00) [11]

Ты вообще к чему гнешь ?

Давай уже почесноку - что учудить-то затеял ?)

← →
isasa © (2008-07-28 22:39) [15]

Если страшно, вынь кабель и надень на кончик презерватив...

Прокси, они разные. Если прокси HTTP, то сканирование я слабо представляю ...

← →
Anatoly Podgoretsky © (2008-07-28 23:09) [16]

> isasa (28.07.2008 22:39:15) [15]

HTTP-Прокси к НАТ не имеет отношения, как и к сканированию, чего то не видимого снаружи.

← →
miek (2008-07-29 09:11) [17]

>Давай уже почесноку - что учудить-то затеял

ничего. просто интересно было, есть ли принципиальная возможность просканировать меня, сидящего в локалке за тремя нат.

← →
Сергей М. © (2008-07-29 09:24) [18]

> miek

> 3-мя роутерами с НАТ (прокси-сервер, адсл-модем, прокси
> провайдера)

Ни одно из перечисленных тобой устройств не обязано являться устройством, реализующим NAT-функциональность.

← →
Anatoly Podgoretsky © (2008-07-29 10:27) [19]

> miek (29.07.2008 9:11:17) [17]

Вон проскакал неуловимый Джою

← →
miek (2008-07-29 17:46) [20]

>не обязано являться

в данном случае я точно знаю, что все три - являются.

← →
isasa © (2008-07-29 18:43) [21]

Anatoly Podgoretsky © (28.07.08 23:09) [16]

HTTP-Прокси к НАТ не имеет отношения, как и к сканированию, чего то не видимого снаружи.

:)
Это не я так думаю, это, судя по [11] топикстартер так думает ...

"Смешались в кучу, кони, люди ..."

← →
isasa © (2008-07-29 18:45) [22]

miek (29.07.08 09:11) [17]
ничего. просто интересно было, есть ли принципиальная возможность просканировать меня, сидящего в локалке за тремя нат.

:)
Не, ну это фобия какая то.
Поставь софтовый файрволл, типа OutLook-а, или Kerio Personal. Он скажет, когда писец ...

← →
Сергей М. © (2008-07-29 20:32) [23]

> miek (29.07.08 17:46) [20]

Откуда знаешь-то ?

Откровение с небес свалилось ?

Трындишь ведь и не краснеешь)

← →
antonn © (2008-07-29 20:37) [24]

господа, если вам есть что сказать - вы скажите, не надо соревноваться в том кто лучше пнет упиваясь осознаем того, что вы кое что знаете в этой области, а собеседник - нет.

← →
Сергей М. © (2008-07-29 20:44) [25]

> antonn © (29.07.08 20:37) [24]

Здесь не ликбез по сет.администрированию.

Это раз.

Автор безапелляционно утверждает "я точно знаю".

Это два.

← →
Сергей М. © (2008-07-29 20:51) [26]

> вы скажите

Уже сказано.

NAT <> прокси-сервер
NAT <> адсл-модем,
NAT <> прокси провайдера

← →
Сергей М. © (2008-07-29 20:57) [27]

Но, в то же время, современная NAT действительно есть посредник (прокси, proxy) при межсетевом взаимодействии на основе IPv4.

Эра IPv6 туманна в своей перспективе, но она призвана быть могильщиком всей этой НАТ-свистопляске)

← →
antonn © (2008-07-29 21:29) [28]

> Сергей М. ©

задело, да? :)

> Здесь не ликбез по сет.администрированию.

А почему бы и нет, совсем даже ликбез, но не форум, да. "Прочее", околокомпьютерная тематика, никто никого не заставляет отвечать. А то иногда такое чуйство, что отвечающие нехотят отвечать потому что за такие ответы где то платят, а вот тут никто не заплатит - работа забесплатно, типа :)
Мне вот интересно было, что скажут знающие люди в теме про роутер и светодиод, жаль тему удалили, стало действительно интересно, пошел выдернул из циски кабель, для проверки :)

>
> Автор безапелляционно утверждает "я точно знаю".

и? плохо точно знать, что адсл-модем с НАТом?

> плохо точно знать, что адсл-модем с НАТом?

Нет в модемах никаких НАТов)

Модем это модем, а НАТ это НАТ)

ширше надо смотреть, ширше :)
сейчас модемы такие прикольные, не только в себе НАТ имеют, но и дхцп, фаервольчег, фильтры по пакетам и прочую мишуру. Правда называются роутеры, но "по-народному" модемы :)

> что скажут знающие люди в теме про роутер и светодиод

Роутеру индефферентны светодиоды, он делает свое дело - маршрутизирует инф.пакеты.

> Роутеру индефферентны светодиоды, он делает свое дело -
> маршрутизирует инф.пакеты.
>

это лишь бы сказать? %)))))
да, не спорить ну буду, речь шла вообще то о другом :))

> но "по-народному" модемы

По-народному - это далеко не по-падонкаффски. И не по-тинейджерски.

Это раз.

Даже если автором под "модемом" подразумевается "прикольная" коробочка, реализующая, в т.ч., и NAT-ф-ции, то это вовсе не значит, что какие-то там "прокси" являются НАТами лишь на основании "я знаю")

> это лишь бы сказать?

А к чему в этом топике какие-то там "светодиоды" ?

Разве они имеют к НАТ реляции ?)

Или всуе, типо кажный о своем, о девичьем ?)

> antonn

НАТ, любезный, есть НАТ.

Это просто Трансля[тор|ция] Сетевых Адресов, не более и не менее того.

> Даже если автором под "модемом" подразумевается "прикольная"
> коробочка, реализующая, в т.ч., и NAT-ф-ции, то это вовсе
> не значит, что какие-то там "прокси" являются НАТами лишь
> на основании "я знаю")

так, уже лучше, значит сознаем, что адсл-модемчег может быть с НАТом, осталось так же мелкими шажками дойти до того, чтобы осознать, что и на тех устройствах тоже может быть НАТ, и вполне вероятно что автор об этом знает.

адсл-роутер, в народе все же модем:
http://www.dlink.ru/products/prodview.php?type=23&id=557
буквоедством как то седня не хочется заниматься, поэтому не буду давить на то, что якобы автор точно не уточнил, что его модем является роутером с НАТ, а просто написал подем.

Вернемся к НАТу. насколько я понимаю, при трансляции пакета через wan и ожидание на ответ он дописывает какую то информацию в него (либо у себя где нибудь, выяснять и буквоедствовать сейчас мне влом, будет поверхностно рассуждать), по которой можно идентифицировать таргет, кому же внутри сети от должен будет отдать его (ответ). Вопрос - не зная таргета (сканер сети, да и присто удар "на удачу") кому должен будет прийти пакет? Имхо очень даже похоже на то, что эта технология хоть немножко, но позволяет помешать сканированию и долбежку определенного компьютера, если не знать его точных координат. так?

> А к чему в этом топике какие-то там "светодиоды" ?
>
> Разве они имеют к НАТ реляции ?)

нет, просто это тоже немного к сетевому администрированию было, но нет, не к НАТу, более приземленные вещи :)

> буквоедствовать сейчас мне влом, будет поверхностно рассуждать

Вот именно)

Подходим к "дну" - НАТ НАТе рознь.

Ты о какой конкретно ?

Network Address/Port translation

поговорим о том, какие разные они бывают? :)

Вот мне нравится народ. Ну и где в названии сего девайса слово модем?

DSL-524T
Маршрутизатор ADSL/ADSL2/ADSL2+ со встроенным 4-х портовым коммутатором 10/100 Мбит/с и расширенными функциями QoS.

То, что один из интерфейсов сопрягается через модем, еще не значит, что всю байду можно обозвать модемом.

По аналогии я свою железяку могу обозвать коммутатором (DI-604), хотя она коммутатор+роутер (4LAN+1WAN).

На коробке написано Internet Broadband Router, а то, что один порт RJ-45, или RJ-11 это детали реализации. Есть модификации с добавленной WiFi точкой доступа ...

NAT для безопасности сети Найти похожие ветки