Lenin se nejmenoval Lenin, Stalin se nejmenoval Stalin a Velká Říjnová Socialistická Revoluce byla v listopadu...
Autor opomíjí několik drobností:
1. Mluví o dynamickém NATu, aniž by to někde explicitně uvedl (pokud jsem se nepřehlíd pro zmněnu já). Statický NAT pochopitelně prohazuje jednu adresu za jinou a co kde jak otevírá/zavírá spojení ho nezajímá, takže v podstatě neplní žádnou funkci pasivní ochrany, což u DNATu není až tak úplně pravda.
2. Nejsem si tak úplně jistej, že NAT vznikl z potřeby řešení malýho adresního prostoru. V případě DNATu to tak nejspíš bylo, ale SNAT tenhle problém neřeší, tam se to používá z důvodu zjednodušení routingu v lokálních sítích.
3. Cest za DNAT skutečně vede několik a implicitní routing je jen jedna z nich. Problém je v tom, že musíte znát strukturu vnitřní sítě a její prozkoumání není zas tak jednoduchý, jak autor popisuje. To, co popisuje, by v podstatě šlo použít na malou firmu, která má vnitřek postavenej na ethernetu a NAT jí běží v podstatě v nějakým routeru, čili vnitřek se routuje na úrovní ethernetu, nikoliv IP. V tomhle pádě platí ta jednoduchá představa.
4. Zjištění vnitřní IP z nějakýho blbýho software (např. ICQ) pochopitelně možný je, ale ne vždy a v podstatě to moc nevypovídá o vnitřku sítě. Pokud budu mít NAT za NATem, což pochopitelně normálně funguje, zjistím z toho IP jednak venkovní, druhák lokální IP příslušnýho stroje za tím druhým NATem, ale IP toho druhýho NATu, který na útok implicitním směrováním potřebuju, nezjistím, ani kdyby had na skale sral a žába do toho pěstí bušila. BTW ten druhej NAT může být pro tu prdel klidně statickej.
5. Proč dělat věci složitě, když je jde udělat jednoduše. Když se chci (např. implicitním směrováním) dostat za NAT průměrnýho člověka, musím znát strukturu vnitřní sítě a minimálně musím být schopen zvenku najít IP počítače, kterej chci napadnout, protože předpokládám, že se jde po něčem konkrétním. Pokud použiju IP z rozsahu 10.xx.xx.xx tak nalezení IP může být zatraceně zdlouhavý bez použití berliček v podobě ICQ. Napadení jednoho konkrétního počítače tedy bude trvat poměrně dlouho. Příjde mi jednodužší vyrobit nějakej vhodně infikovanej mail, ona to určitě alespoň jedna sekretářka otevře a můžu si krásně otevřít spojení přímo na svůj stroj a použít k průniku vlastní kod, kterej pochopitelně bude dělat to, co já chci, navíc obvykle s administrátorskejma právama, protože všichni víme, jak to na Win funguje. Dělat takovejhle průstřel přes NAT pochopitelně jde, ale je to jak se škrabat nohou na hlavě. To taky jde, ale je to zbytečně složitý. Projít jde v podstatě čímkoliv, jde jenom o to, kolik to dá práce a jestli je to ještě efektivní.
6. Ve složitejch sítích jde s implicitním směrováním pěkně zakopnout, obzvlášť, když je tam bran do Internetu několik, může to být docela průser. Druhej stupeň průseru spočívá v tom, že aktivity typu ,,zavirovanej počítač sekretářky'' nechá každýho admina v klidu, protože v podstatě neexistuje moment, kdy by byly počítače nějaký větší sítě důkladně odvirovány, takže schovat v bandě všiváků svůj vlastní kod v podstatě není těžký a bude to trvat hrozně dlouho, než to začne někdo řešit a většinou to ani nebude zkoumat zevnitř, čili vám kukačka přestane fungovat, ale nikdy na vás nepříjdou. Pokud se do tý sítě ale propašujete nějakým divným způsobem a náhodou a čistě omylem tam o něco zakopnete a způsobíte rutiku, zalarmuje to všechny správce, začnou to řešit a je marná představa toho, že vás nevystopujou a nastane strašnej průser.
Faktem ale je, že NAT se nedá používat jako firewall a obráceně.
Ještě jedna malá poznámka. Víme všichni skutečně co v našich systémech běží? Co posílá např. Skype, od kterýho jsem zdrojáky v životě neviděl, co posílá například Opera, Nechťskape, či jinej werk? Ono to totiž i s Firewallem může být děravější, než si všichni myslíme. Nejhorší je, že to není jak zjistit.
Proč dělat věci složitě, když je jde udělat jednoduše. Ano, myslím že kdybyste napsal jen tu jednu větu "Faktem ale je, že NAT se nedá používat jako firewall a obráceně." tak by to úplně stačilo, protože všechno ostatní je podle mne úplně off-topic.
Třeba odstavecc 4. Jasně že u dvojitého natu nezjistím v ICQ obě IP. Taky když uříznu síťový kabel tak nezjistím vnitřní IP. A když vypnu počítač tak také ne, ale nevidím důvod vyjmenovávat všechny možnosti, kdy to nejde, ...i když vy jste s tím zdá se už asi začal.
Nebo hádat vše v rozsahu 10.x.x.x, no dobrý, jistě že tohle by trvalo dlouho, ale článek byl spíš o tom, že uhodnout 192.168.0.1-2 nebo 192.168.1.1-2 je na 4 pokusy a ...máte to zadarmo. Zmiňovat v té souvislosti že 10.x.x.x trvá dlouho -- nechápu. Je tam vůbec nějaká souvislost?
Kdyby napsal autor že se dá "hádat login" (a také se to běžně dělá), tak v příspěvku napíšete že login dlouhý 1024 znaků se hádá dlouho??? Fakt vůbec nechápu...
Napsat že lepší než se snažit dostat zvenku přes nat je lepší poslat vir v mailu.. tak to taky můžu nasadit agenta do firmy, který můj stroj přidá do iptables a mám cestu volnou. Taky můžu udělat spoustu dalších věcí s jejichž vyjmenováváním jste rovněž začal, ale netuším jak to souvisí s faktem, že NAT není FW.
"""Autor opomíjí několik drobností:"""
Takže myslíte že je v článku o NAT nutné opravdu psát i všechno o posílání virů mailem a o Skype, Opeře atd.??? Mně to čtení vašeho příspěvku i odpovídání na něj přišlo úplně zbytečné, chraň bůh aby to bylo ještě v článku :D
Mimochodem spustit alarm IDS není tak složité a opravdu v tom momentě nastane mezi IT peklo.
Obvykle jsou nastavené cca tyto scénáře:
IDS spustí:
- jedná se o průnik?
ANO x NE (zablokovat IP)
|-> vypnout brány do netu (vznikají ztráty)
- je potřeba zavolat odbornou společnost ?
ANO x NE (ztráty jdou do desetitisíců)
|-> než přijedou trvá to a ztráty jdou do statisíců
....
......
...
Takže blbou hrou může vzniknout škoda klidně mega.
A to jen díky pokusu ,,ha ha ha zkusím se kouknout do naší firmy z domova ať je sranda".
Na druhou stranu firma s IDS obvykle má firewall a né jen NAT .)
Ovšem nikdo neříká že i když mají firewall že se jim nemůže povést přeskočit FW.
Par drobnosti
nat vznikl opravdu diky nedostatku adresniho prostoru, coz je take receno v jeho RFC..
Pokud si pozirujete IDS tak by melo provoz sledovat to uz spise IPS.... diky cemuz se dostavame zpet k ciscu.... a mozna certifikacim...
dosti podstatny rozdil jestli mate od providera hloupou krabicku za dva litry, popr necopodobneho s linuxem a nebo za 5K kvalitni 17xx krome toho ze tam bude chodit DNAT tak si spoustu veci osetrite pres access listy nehlede nato ze po nahrani spravne IOS verze jde
router pouzivat jako vpn gateway... to nemluvim o pix firewallu ktery je take k mani za 6K
zhruba.
pokud mate ids nebo ips je uplne jedno strata bude vzdy kdyz na vas nekde zautoci dos attackem... budeli linka nepouzitelna bude sice fungovat vnitrni sit, ale pri potrebe komunikovat s partnery ven bude ztrata tak jako tak... pokud nepouzivate vice provideru..
tenhle typ utoku mimojine by mel byt osetren na strane providera....
jinak ten clanek je gut ale je to jen absolutni vycuc toho co se pod slovickem NAT skryva...
