Nevyhody NATu

Ing. Pavel PaJaSoft Janousek janousek at fonet.cz
Tue Aug 6 12:07:50 CEST 2002

Previous message: Nevyhody NATu
Next message: Nevyhody NATu
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Martin Horcicka wrote:
> Ing. Pavel PaJaSoft Janousek (2002-08-06 11:20 +0200):
>>Martin Horcicka wrote:
>>
>>>adresy, co ktery pocitac typicky dela atd. To s firewallem neudelam.
>>
>>??? Why? Jak se lisi ip-filtering od NATu po teto strance?
>>
>>PS: Opravdu je dobre si nejprve uvedomit, co mi vlastne NAT dela a
>>prinasi a nezamenovat jednu funkcni(nost) za jinou...
> 
> 
> dam radeji priklad: Rekneme, ze mam zleho a zvedaveho poskytovatele pripojeni,
> nebo je nekdo schopen poslouchat na moji lince do Internetu (a to nemusi byt
> zas tak tezke). Pak dotycny zvedavec snadno uvidi, ze z adresy a.b.c.d, ktera
> ma navic v DNS jmeno reditel.znama-firma.cz chodi dve tretiny spojeni na
> servery s perverznimi pornostrankami a to je informace, ktere by se mohlo dat
> zneuzit. Kdybych ovsem pouzival NAT, byla by cela moje vnitrni sit skryta za
> stroj brana.znama-firma.cz a zvedavec by sice videl s kterymi pocitaci nekdo z
> firmy komunikuje, ale nevedel by kdo a ani by nedokazal snadno zjistit kolik
> je v moji firme pocitacu atd., protoze jemu by se moje firma jevila jako jeden
> stroj.
> 
> Firewall jen omezuje pristup, ale nesnazi se nic skryvat.

	Bohuzel cely Vas primer je postaven na hlavu, ale totalne. Prosim, 
urovnejte si nejprve problematiku, to co pisete neni pravda, protoze:

a) NAT jste velmi silne zkhrouhnul na vec, kterou nazyvame Masqeurade - 
tedy skryti casti adresniho prostoru za 1 adresu - neco jako relace N : 
1, to je ovsem jen velmi omezena cast NATu, dalo by se rici, ze je to 
podmnozina SNATu

b) Co mi brani abych provadel SNAT/DNAT v pomeru 1:1? Vite, ze takovy 
DNS server v jistem smyslu provadi DNAT 1:N?

c) Co mi brani abych jel pres vnitrni proxy server - prakticky 
pozadavek, ktery bez oberlicek komplexne resi to, co jste pozadoval - 
skryti zdrojove adresy pozadavku na 'zavadny' obsah?

	To, co jste udelal Vy je, ze jste polozil NAT = Masquerade => Internetu 
skryvam co potrebuji.

	A ja tvrdim, ze takoveto nasazeni Masquerade je skodlive, brani rozvoji 
Internetovych sluzeb - jakekoli netrivialni obecne IP spojeni je v haji 
(jak budete NATovat IPsec???) a mohli bychom pokracovat dokladem jiz 
existujicich protokolu, ktere bez ruznych oberlicek jako aplikacnich 
proxy serveru nemohou fungovat... (Mimochodem, kdyz budete mit za 
Masqueradou verejny FTP server, jak se k nemu dostanete pres pasivni 
rezim? - vazne by mne to zajimalo)

	Takze NAT ma vyznam, zrejme ho bude mit v urcitych specifickych oblastech 
i v budoucnu, ale NAT nema slouzit a ani dost dobre nemuze jako 
bezpecnostni hledisko. Staci jedna skulinka, kterou v realnem nasazeni 
dnesnich routeru musite otevirat velmi casto a jste v haji... (po Vas 
uzivatele nikdy nechteji proroutovani obskurtnich portu, terminalove 
sluzby (jak 3389 coby TS v MS Windows, tak 6000 pro X-Window sezeni) 
atd...?)

	Zaver - znovu opakuji, zakladem politiky by melo byt srovnani poznatku a 
nezamenovani aplikaci a technologii.

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek at FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek at SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info at FoNet.Cz
-----------------------------------------------------------------------

Previous message: Nevyhody NATu
Next message: Nevyhody NATu
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list