creetz
Goto Top

reicht (Hidding) NAT als (Firewall)-Schutz ??

Hallo zusammen,

würde gern mal euere Meinung hören. Verlasst ihr euch bei der Konfiguration eueres DSL-Routers auf den Schutz den (Hidding)- NAT mit sich bringt oder haltet ihr einen zusätzlichen Firewallmechanismus (wie z.B. SIF) für dringend notwendig ??

Würd mich über Antworten freuen, da ich mir mom. nicht sicher bin ob ich mich an SIF "rantrauen" soll oder ob ich mich - wie bislang - auf den "Schutz durch geblockten Verbindungsaufbau von außen dank NAT" verlassen soll.

Dem internen Netz kann nämlich - in meinem Fall - vertraut werden.

creetz

Content-ID: 17248

Url: https://administrator.de/forum/reicht-hidding-nat-als-firewall-schutz-17248.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

Chupacabra
Chupacabra 05.10.2005 um 22:56:27 Uhr
Goto Top
NAT Schütz ein Heimnetz, meiner Meinung nach, ausreichend vor Angriffen von aussen. Eventuell kann man auf den PCs noch eine Personal-Firewall installieren.
In Firmen würde ich aber eine "richtige" Firewall einsetzen, da hier ein deutlich höherer Schaden entstehen kann und sich dementsprechend die Kosten und der Aufwand auf jedenfall rechnen.
Guenni
Guenni 05.10.2005 um 23:01:43 Uhr
Goto Top
@creetz

Hi,

NAT(Network Address Translation) heißt nichts anderes, als dass deine Clients, die ja, zumindest standardmäßig eine IP aus dem privatem Bereich haben, mit der IP deines DSL-Routers ins Internet gehen.

Beispiel:
Ein Client hat die private IP 192.168.2.1, der öffnet einen eMail-Client, die priv. Adresse wird übersetzt(er geht eine Verbindung zum Provider über die IP des DSL-Router ein), die Post wird abgeholt, die IP-Adresse wird rückübersetzt(oder so ähnlich) und die infizierte Mail landet beim Client.

Ergo, kein Schutz.

Gruß
Günni
creetz
creetz 06.10.2005 um 08:27:54 Uhr
Goto Top
@günni

wie du richtig beschrieben hast übersetzt NAT IP-Adressen. Das beim DSL übliche Hiding NAT verbirgt dabei das interne Netz. Standardmässig werden alle Ports bei der öffentlichen IP-Adresse geblockt. (--> Firewallfunktion) Möchte ich Dienste im LAN freigeben muss ich das über spezielle Port Forwarding Regeln im Router machen. Ähnlich eines Paketfilters bei der Firewall. Insofern bin ich der Meinung das NAT einen Paketfilter ersetzt. Allerdings keine SIF. Weil es anscheinend mittlerweile immer mehr Tools gibt die per IP Spoofing NAT aushebeln können. So Angriffe erkennt meines Wissens nur eine Stateful Inspection Firewall.

Und genau da war meine Frage. Wir Real ist diese Art von Angriff wirklich !? Kann das mittlerweile jedes Skript Kiddie oder nur fortgeschrittene Bösewichte face-wink
Guenni
Guenni 07.10.2005 um 23:18:54 Uhr
Goto Top
@günni

wie du richtig beschrieben hast
übersetzt NAT IP-Adressen. Das beim DSL
übliche Hiding NAT verbirgt dabei das
interne Netz. Standardmässig werden
alle Ports bei der öffentlichen
IP-Adresse geblockt. (-->
Firewallfunktion) Möchte ich Dienste im
LAN freigeben muss ich das über
spezielle Port Forwarding Regeln im Router
machen. Ähnlich eines Paketfilters bei
der Firewall. Insofern bin ich der Meinung
das NAT einen Paketfilter ersetzt.
Allerdings keine SIF. Weil es anscheinend
mittlerweile immer mehr Tools gibt die per
IP Spoofing NAT aushebeln können. So
Angriffe erkennt meines Wissens nur eine
Stateful Inspection Firewall.

Und genau da war meine Frage. Wir Real ist
diese Art von Angriff wirklich !? Kann das
mittlerweile jedes Skript Kiddie oder nur
fortgeschrittene Bösewichte face-wink

@creetz

Hi,

jetzt überleg´ doch mal, wenn ein "Skript Kiddie" über entsprechende Tools
verfügt, sprich Programme, was braucht der "Ahnung"? Keine. Also ist der
Kiddie als Bösewicht genauso prädistiniert.

Zu NAT als Schutz kann ich sagen:
Ich bin mit einem Windowsrechner über DSL-Router ins Internet,
suche per Google nach Porno, Sex etc., rufe Suchergebnisse auf,
nach max. 10 Min. geht nix mehr, anschl. Neuinstallation, Versuch
wiederholt, gleiches Ergebnis.

Linux-Server als Router zwischen Client und Internet, NAT akt.,
Versuch wiederholt, wiederholt, wiederholt........., nix passiert.

Also scheint NAT schonmal in der Hinsicht zu funkt., dass ich beim "Aufruf"
von zweifelhaften Sites einigermaßen geschützt bin.

Gruß
Günni
creetz
creetz 07.10.2005 um 23:37:49 Uhr
Goto Top
die frage war .. gibt es solche tools die das effektiv ausnützen können. mir sind keine bekannt. ein einzelnes paket zu faken .. ok .. das kann ich auch. aber ne ganze verbindung. das halte ich mom. noch für schwer ..

wenn du per Inet auf Schmuddelseiten gehst und dir Malware einfängst dann hat das rein gar nix mit NAT zu tun. Dort werden Schwachstellen im Browser oder im System ausgenutzt.

Des Weiteren weiß ich nicht was beim Linux NAT anders sein soll als bei einem Router NAT ...

es ging ja auch nur um den firewallschutz. nicht um virenschutz oder das patchen von systemen zu ersetzen. ich glaub du verstehst da was falsch