Bör jag använda NAT? Vad är fördelarna och nackdelarna med NAT (Network Address Translation protocol)?


NAT är en funktion som ofta finns i en brandvägg eller liknande fysiska enheter eller mjukvaror och som fungerar på så sätt att tex en server ansluten via ett internt nätverk, bakom en brandvägg kan ha en intern IP-adress som översätts till en annan, extern IP-adress på "utsidan" av brandväggen.

 

Till skillnad mot vad många tror så ökar inte NAT säkerheten nämnvärt utan det är fortfarande helt och hållet beroende på vilka portar som eventuellt är öppna / nåbara utifrån Internet mot tex en server och hur de mjukvaror som lyssnar på denna port fungerar som avgör hur pass "säker" en server eller tjänst är.

NAT däremot ger såväl användare som administratörer flera fördelar och kan förenkla mycket.

 

Exempel på interna IP-adresser / nätverk som kan användas lokalt, dvs på insidan av en brandvägg i ett NAT:at nätverk:

 

     10.0.0.0        -   10.255.255.255  (10/8 prefix)
     172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
     192.168.0.0     -   192.168.255.255 (192.168/16 prefix)

 

Det interna nätverket med IP-adresser av typen 127.x.x.x kan aldrig användas på ett lokalt nätverk utan fungerar alltid som "localhost".

 

NAT bakom NAT?

Används NAT i en extern brandvägg bör man undvika att använda NAT "en gång till", dvs ansluts en lokal brandvägg "bakom" en extern brandvägg så bör den lokala brandväggen försättas i "brygg-läge" ("Bridge Mode"), dvs "bara" slussa vidare paket utan att använda NAT och förändra/översätta IP-adresserna ytterligare en gång.

Varför? Jo, helt enkelt för att många protokoll, inte minst inom VoIP (som IP-telefoni, taltjänster mfl) men även många andra vanliga tjänster som filöverföringar mm, inte klarar av två nivåer av NAT på varandra utan server och klient behöver kunna tala om för varandra vilken som är den lokala IP-adressen på båda sidor och vilken som är den externa IP-adressen på båda sidor när data ska överföras mellan två enheter ute på Internet.

I vissa fall kan det fungera att använda NAT på NAT men det tillför knappast någonting annat än risk för långsammare överföring, paket som time:ar ut eller paketförluster och definitivt betydligt mer komplicerad felsökning.

Ansluts en enhet som ej kan försättas i bryggläge (bridge mode) bör man överväga att planera nätverket på ett annat sätt, tex dela upp nätverket i flera olika segment och kanske använda flera olika brandväggar. Det går även att använda olika interna serier IP-adresser för att separera olika nät logiskt och/eller även fysiskt från varandra.

Exempelvis Nidavellir-brandväggarna har mycket goda egenskaper och funktioner för att hantera detta.

Tänk på att alla enheter som är nåbara via samma nätverk utgör en potentiell säkerhetsrisk för alla andra enheter på de nåbara nätverken - ändpunkts-skydd och lokalt skydd måste vara 100% tillförlitligt, uppdaterat och övervakat - gärna med täta manuella kontroller och självklart med någon form av automatiserat larm vid misstanke om felaktigt beteende hos en enhet. Den svagaste länken i ett gemensamt nätverk innebär att alla andra enheter som eventuellt inte är skyddade mot varandra på det lokala nätverket i praktiken är lika oskyddade som den svagaste länken. Därför: segmentera och separera, helst fysiskt, olika tjänster, nätverk och funktioner.

Använder ni Nidavellir-brandväggen för detta så är det enkelt att göra detta på ett tydligt sätt genom att placera varje nät bakom en virtuell eller fysisk port. Tex:

 

WAN - anslutning ut mot Internet.

LAN1 - övervakningskameror.

LAN2 - larmsystem.

LAN3 - trådlösa enheter, WLAN, accesspunkt, gäst-datorer mm.

LAN4 - betrodda användare.

 

Genom att inte tillåta någon som helst trafik mellan de olika LAN-portarna ovan utan enbart från respektive LAN ut på Internet så kan tex inte en trådlöst ansluten dator på LAN3 nå övervakningskamerorna bakom LAN1 eller de betrodda användarna med datorer på anslutna via LAN4-porten.

Önskas åtkomst från tex vissa resurser på LAN4 till särskilda resurser på LAN1 så kan detta ställas in manuellt, tex kanske en särskild dator ska få ansluta till några specifika övervakningskameror lokalt.

På WAN-porten konfigureras om tex en medarbetares hemarbetsplats ska få nå utvalda resurser bakom tex LAN1-porten.

Ha hela tiden i bakhuvudet att varje regel som innebär att du öppnar från et IP-adress, ett nätverk eller för en tjänst innebär att ALLA som kan få tillgång till den IP-adressen eller ansluta via det nätverket kan nå din resurs. Det är således viktigt att skydda sig mot oönskad användning även från det man tror är betrodda användare. Tex bör en tjänst för att titta på övervakningskamerorna på LAN1 dessutom vara lösenordsskyddad så att om en obehörig användare skulle få tillgång till tex en hemarbetsplats så kan de ej nå själva tjänsten om de inte också har ett giltigt lösenord. Med personliga användaridentiteter blir det enkelt att se vilket konto som eventuellt missbrukas men det är en annan fråga som egentligen inte längre har med NAT alls att göra.

För hjälp med brandväggskonfiguration, nätplanering, IT-säkerhet eller köp av utrustning: kontakta vår kundservice så hjälper vi er.

Tips: fråga oss om våra IT-supportavtal som ger er ett ännu förmånligare pris när ni anlitar oss för hjälp med ett flertal olika typer av IT-relaterade uppdrag, frågor och support. Även på platsen-support och jour-support finns tillgängligt!

Taggar: address, adress, brandvägg, firewall, hub, IP, ip-adress, ipadress, itsäkerhet, LAN, NAT, nätplan, nätverk, network, regler, router, säker, säkerhet, skydd, switch, WAN
Senast uppdaterad:
2014-02-14 09:15
Av: :
compartment AB
Ny version:
1.0
Resultat av röstning:0 (0 röster)

Du kan inte kommentera den här frågan

Chuck Norris has counted to infinity. Twice.

bannerbyte.eu