Sicherheit von NAT-Routern (was: nochmal Vista FW)

From: Ralph Lehmann <info@xxxxxxxxxxxxxxx>
Date: Fri, 28 Sep 2007 18:06:36 +0200

Heiko Schlenker schrieb:

* Markus Schaber <leafnode.use-net@xxxxxxxxx> schrieb:

Sollte tatsächlich NAT im Spiel sein, bist Du gegen eine bestimmten
Klasse von Angriffen aus dem Internet geschützt,

Achtung! NAT ist keine Sicherheitstechnik[1].

Vielleicht sollte man noch folgendes klar stellen:

Die eierlegenden Wollmilchsäue, die als NAT-Router verkauft werden,
realisieren mehrere Komponenten; nämlich mindestens Router _und_
Paketfilter mit SPI _und_ NAT-Gerät.

Der Router soll routen, der Paketfilter soll dafür sorgen, dass nur
geroutet wird, was erwünscht ist, und NAT soll ermöglichen, dass das
auch mit privaten Adressen und mehreren Clients funktioniert. (Das
Dienste aus dem lokalen Netzt in Richtung Internet angeboten werden
sollen, lasse ich hier mal außen vor, weil das von ONU nicht oft genutzt
wird.)

Natürlich ist die Komponente, die die Clients absichern soll _nicht_
NAT, aber das ist nun mal für die gewünschte Funktionalität unerlässlich.

Wenn die NAT-Komponente nun aber _nicht_ kaputt ist, dann ist der
NAT-Router als _insgesamt betrachtete Einheit_ sehr wohl ein
Sicherheitsgewinn, auch wenn _NAT selbst_ die Sicherheit (durch das
Verbergen der privaten IP vor dem pöhsen Internet) _nur geringfügig_ erhöht.

<Polemik>
Wer es testen möchte: Man hänge einen ungepatchten XP-Rechner via ISDN
Anschluss und einen zweiten zum Vergleich via NAT-Router ans Internet.
</Polemik>

ciao Ralph
.

References:
- nochmal Vista FW
  - From: Christian Buhtz
- Re: nochmal Vista FW
  - From: Markus Schaber
- Re: nochmal Vista FW
  - From: Heiko Schlenker

Prev by Date: Re: Verschlüsselungsoftware
Next by Date: Re: nochmal Vista FW
Previous by thread: Re: nochmal Vista FW
Next by thread: Re: Sicherheit von NAT-Routern
Index(es):
- Date
- Thread

Relevant Pages

Re: EBS 2008, TMG and external firewall. Dont want double NAT
... This is done because Exchange is bound to the internal interface and leaves the external interface to be *completely* controlled by TMG...a good security guideline by the way. ... If you are disabling NAT then you'll need to change this from a publishing rule to an access rule, but it should still work fine. ... The first is an access rule allows traffic from the internal IP to the external interface and to the messaging server ... One of the default rules is an "internet access for all users" that allows http and https by default. ...
(microsoft.public.windows.server.sbs)
Re: Routing and Remote Access NAT - I need to modify TTL
... with two interfaces: PUBLIC (internet) and PRIVATE ... use it as a gateway, they can access hosts on the PUBLIC interface, TTL is ... but the replay that comes back to the NAT ... They relay on the fact that client computers accept packets with TTL=0, ...
(microsoft.public.windows.server.networking)
Re: Routing and Remote Access NAT - I need to modify TTL
... with two interfaces: PUBLIC (internet) and PRIVATE ... use it as a gateway, they can access hosts on the PUBLIC interface, TTL is ... but the replay that comes back to the NAT ... They relay on the fact that client computers accept packets with TTL=0, ...
(microsoft.public.windows.server.networking)
Simultaneous NAT overload (internet) and NAT overlapping for IPsec
... There is a pure IPsec tunnel between SITE1 and SITE2. ... SITE1 also has an internet connection via ISP1 which is used to ... the NAT overload from SITE1. ... interface on ISP1) its "also" translating the addresses across to ...
(comp.dcom.sys.cisco)
Re: Routing and Remote Access NAT - I need to modify TTL
... with two interfaces: PUBLIC (internet) and PRIVATE ... Hosts on the LAN successfully acquire IP addresses from the NAT SERVER ... use it as a gateway, they can access hosts on the PUBLIC interface, TTL ... They relay on the fact that client computers accept packets with TTL=0, ...
(microsoft.public.windows.server.networking)