Beveiligingsexpert: NAT is de allerbeste firewall
Network address translation (NAT), dat veel routers en modems standaard aanbieden, is de allerbeste firewall, zo stelt de bekende beveiligingsexpert Robert Graham. NAT zorgt er onder andere voor dat meerdere apparaten op een netwerk één publiek ip-adres kunnen delen.
NAT vertaalt daarbij de pakketjes van het interne netwerk van en naar het internet. Volgens Graham zien de meeste experts NAT niet als een firewall, maar hij is het daar niet mee eens. "Een firewall kan van alles zijn dat een barrière opwerpt tussen een intern netwerk en het publieke en gevaarlijke internet, waar iedereen op elk moment verbinding met je kan maken. Een NAT zorgt precies voor die barrière."
Niet alleen thuisapparaten maken in veel gevallen gebruik van NAT om verbinding met het internet te maken, ook mobiele telefoons doen dit vaak. In dit geval hanteert de telecomaanbieder een vorm van NAT. "De reden dat hackers het lastig vinden om iPhones te hacken is deels omdat ze via de NAT van de telecomaanbieder met internet zijn verbonden", merkt Graham op.
De beveiligingsexpert stelt dat NAT niet alleen de meestgebruikte firewall is, maar ook de beste. Eenvoudige firewalls die verkeer inspecteren kunnen bijvoorbeeld adressen niet vertalen. Een verkeerde firewallregel kan er daarnaast voor zorgen dat interne systemen opeens toegankelijk voor het internet zijn. In het geval van NAT zorgen fouten ervoor dat interne systemen geen toegang tot internet hebben.
"De definitie van wat een firewall is staat niet vast", gaat Graham verder. Het is in de loop van de jaren ook veranderd. Zo denken veel mensen tegenwoordig dat een "state packet inspection filter" de enige echte firewall is. Gezien de technische werking van NAT is Graham het daar niet mee eens. "NAT is per definitie een firewall. Het is de populairste firewall en het is de beste firewalltechnologie."
Reacties (26)
Ik vind het wel een interessant idee met goede onderbouwing van hem.
Met IPv6 zou dit in theorie niet meer nodig zijn. Echter ben ik ook van mening dat hier een NAT tussen moet. Maar NAT is zeker niet alles, een goede IPS is ook erg veel waard. Het "universal bypass protocoll" HTTP(S) wordt ook erg vaak gebruikt voor malware e.d. dan kan je een goede firerwall hebben maar daar houdt je niets aan tegen.
Zeker de transitie tussen 4 en 6 moet je wel NAT hebben. Veel bedrijfsnetwerken hebben nog geen IPv6 uitgerold (hoewel het al wel vaak ongewild bruikbaar is (intern))
Zeker de transitie tussen 4 en 6 moet je wel NAT hebben. Veel bedrijfsnetwerken hebben nog geen IPv6 uitgerold (hoewel het al wel vaak ongewild bruikbaar is (intern))
Gaat met IPv6 een stuk lastiger worden, en veel devices babbelen al vrolijk IPv6.
Vraag ik me alleen af hoe dat dan zit met IPv6. Is er wel een makkelijke implementatie van IPv6 NAT eigenlijk?
Dus als je een firewall hebt die zowel WAN als LAN doet, ben je uber-professor?
Verdient iemand die NAT een firewall noemt de kwalificatie beveiligingsexpert?
Verdient iemand die NAT een firewall noemt de kwalificatie beveiligingsexpert?
Ik was eerst verbaasd, want NAT doet niets aan blokkeren. Bij NAT wordt intern adres A vertaald naar extern (publiek) adres B. Zonder blokkade zal een NAT ook verkeer naar adres B vertalen naar adres A en dat vervolgens doorsturen naar het interne netwerk. Bij nadere bestudering van Graham's omschrijving blijkt hij het over NAPT te hebben. Bij NAPT worden meerdere interne adressen vertaald naar 1 of meer (maar in het algemeen minder) externe adressen. Om onderscheid te maken tussen flows van/naar interne adressen wordt gebruik gemaakt van poortnummers (de P in NAPT). In dat geval kun je van buiten normaal gesproken interne adressen niet bereiken.
Maar je blijft zaken als port-forwarding en uPNP houden, die (grote) gaten in de firewall achterlaten.
Peter
Maar je blijft zaken als port-forwarding en uPNP houden, die (grote) gaten in de firewall achterlaten.
Peter
hoe wil je met NAT uitgaand verkeer blokken dan ?
Dus nee.. niet mee eens
Dus nee.. niet mee eens
Helaas werkt het idee van NAT maar 1 kant op. Als de sessie van binnenuit wordt gestart kan alles weer. Tot zover de NAT 'firewall'. NAT is geen firewall, maar een technische maatregel om tekort aan IP adressen op te lossen, en zelfs dat maar tijdelijk.
Het hangt nogal af van de implementatie. De meeste routers gebruiken tegenwoordig Linux en de NAT die daar
in zit is gelaagd op de stateful inspection firewall. Dus inderdaad heb je dan die functie. Als je een default-deny policy
instelt (door dit op iptables in te stellen of door als laatste rule een "drop all" neer te zetten) dan heb je in feite hetzelfde
als wat hij claimt: een vergeten rule betekent toch dat het verkeer geblokkeerd wordt.
Met hacken heeft het allemaal niet zo veel te maken. Het feit dat er overal NAT gebruikt wordt is voor hackers allang
de de-facto waarheid en dus is het hacken veranderd van het van buitenaf connecten naar vulnerable services naar het
van binnenuit verleiden van de gebruiker tot het maken van gevaarlijke uitgaande verbindingen, bijvoorbeeld door middel
van browser bugs, besmette advertenties, word macro's, gemailde executables of links daarheen, enz enz.
Daar helpt NAT net zo min tegen als een stateful firewall. In sommige gevallen is er in een firewall nog wel wat te doen
door draconisch uitgaand verkeer te blokkeren als het bijv geen http of https is, maar dat kan ook ongemakken geven.
En een firewall op de machine zelf kan nog toevoegen dat het ene programma wel en het andere niet naar buiten kan
connecten.
in zit is gelaagd op de stateful inspection firewall. Dus inderdaad heb je dan die functie. Als je een default-deny policy
instelt (door dit op iptables in te stellen of door als laatste rule een "drop all" neer te zetten) dan heb je in feite hetzelfde
als wat hij claimt: een vergeten rule betekent toch dat het verkeer geblokkeerd wordt.
Met hacken heeft het allemaal niet zo veel te maken. Het feit dat er overal NAT gebruikt wordt is voor hackers allang
de de-facto waarheid en dus is het hacken veranderd van het van buitenaf connecten naar vulnerable services naar het
van binnenuit verleiden van de gebruiker tot het maken van gevaarlijke uitgaande verbindingen, bijvoorbeeld door middel
van browser bugs, besmette advertenties, word macro's, gemailde executables of links daarheen, enz enz.
Daar helpt NAT net zo min tegen als een stateful firewall. In sommige gevallen is er in een firewall nog wel wat te doen
door draconisch uitgaand verkeer te blokkeren als het bijv geen http of https is, maar dat kan ook ongemakken geven.
En een firewall op de machine zelf kan nog toevoegen dat het ene programma wel en het andere niet naar buiten kan
connecten.
als je puur sec naar NAT kijkt heeft ie gelijk.
een NAT translatie is een vorm van firewalling en ja heeft zijn beperkingen in encrypted tcp, is cpu intensief, and de niet van nature aanwezige UPNP, static/basic mapping zijn toegevoegd en niet echt onderdeel van het echte NAT.
je kunt er niet veel fout mee doen en heeft toch een beveiligings functionaliteit.
dat het ook beveiligt is niet aan de orde vind ik.
er is geen controle op of retourverkeer ook daadwerkelijk echt is en het continue veranderen van sourcepoorten maakt achteraf en tijdens verkeer zoeken naar problemen extra moeilijk...
een huis tuin en keukengebruiker zal hoogstens zijn kabelmodem weer resetten..
een NAT translatie is een vorm van firewalling en ja heeft zijn beperkingen in encrypted tcp, is cpu intensief, and de niet van nature aanwezige UPNP, static/basic mapping zijn toegevoegd en niet echt onderdeel van het echte NAT.
je kunt er niet veel fout mee doen en heeft toch een beveiligings functionaliteit.
dat het ook beveiligt is niet aan de orde vind ik.
er is geen controle op of retourverkeer ook daadwerkelijk echt is en het continue veranderen van sourcepoorten maakt achteraf en tijdens verkeer zoeken naar problemen extra moeilijk...
een huis tuin en keukengebruiker zal hoogstens zijn kabelmodem weer resetten..
Hier ben ik het mee eens. Immers standaard is alles achter deze Firewall, niet toegankelijk. Tenzij je NAT regels aanpast.
Voor de meeste thuis gebruikers dit dit type firewall meer dan genoeg.
IPv6 icm IOT gaat een groot issue worden in de toekomst.
Voor de meeste thuis gebruikers dit dit type firewall meer dan genoeg.
IPv6 icm IOT gaat een groot issue worden in de toekomst.
Door Anoniem: Dus als je een firewall hebt die zowel WAN als LAN doet, ben je uber-professor?
Verdient iemand die NAT een firewall noemt de kwalificatie beveiligingsexpert?
Verdient iemand die NAT een firewall noemt de kwalificatie beveiligingsexpert?
NAT doe je wel altijd met firewall regels (iptables bijv), dus waarom klopt zijn redenering dan niet?
Door Anoniem: Dus als je een firewall hebt die zowel WAN als LAN doet, ben je uber-professor?
Verdient iemand die NAT een firewall noemt de kwalificatie beveiligingsexpert?
Verdient iemand die NAT een firewall noemt de kwalificatie beveiligingsexpert?
Hij heeft gewoon gelijk, en dat roep ik al jaren, maar om de een of andere reden vinden zelfbenoemde 'echte' experts niet dat machines die niet bereikbaar zijn niet zo veilig als machines die wel bereikbaar zijn maar afgeschermd worden door een complex en daarmee kwetsbaar systeem van regels.
Het is natuurlijk gewoon zo dat 'firewall' net wat beter klinkt dan 'nat'
Door Anoniem: Hier ben ik het mee eens. Immers standaard is alles achter deze Firewall, niet toegankelijk. Tenzij je NAT regels aanpast.
Voor de meeste thuis gebruikers dit dit type firewall meer dan genoeg.
IPv6 icm IOT gaat een groot issue worden in de toekomst.
Voor de meeste thuis gebruikers dit dit type firewall meer dan genoeg.
IPv6 icm IOT gaat een groot issue worden in de toekomst.
IPv4 'IOT' _is_ een groot issue op moment , denkend aan de enorme DDoSen door IP camera's of recorders . Ik beschouw dat als een indicatie dat de 'nat' firewall totaal onvoldoende is .
NAT is geen firewall, maar een technologie welke wel gebruikt wordt in de configuratie van firewalls. Als ik Graham goed begrijp dat kan je dus de firewall configureren met access-list ''permit ip any any'' omdat NAT -volgens hem- op zichzelf al als firewall fungeert.
Ik vind het een slap verhaal, als hij zou adviseren om vooral NAT te gebruiken in je firewall configuratie, dan zou hij geheel gelijk hebben.
Ik vind het een slap verhaal, als hij zou adviseren om vooral NAT te gebruiken in je firewall configuratie, dan zou hij geheel gelijk hebben.
Door Anoniem: Vraag ik me alleen af hoe dat dan zit met IPv6. Is er wel een makkelijke implementatie van IPv6 NAT eigenlijk?
NAT is pas heel laat toegevoegd aan de IPv6 implementatie. Toch kan een router IPv6 net als IPv4 afhandelen op dit punt. In elk geval werkt het doorgeven van IPv6 verkeer bij de Ziggo routers net als NAT bij IPv4:
Per default worden inkomende IPv6 verbindingen tegengehouden. Per intern IPv6 adres moet je in de 'forwarding' instelling aangeven welke poorten naar dat IPv6 apparaat doorgelaten mogen worden. Dit is geen NAT omdat er niets vertaald wordt maar gedraagt zich effectief gelijk als IPv4 NAT..
A "firewall" is anything that establishes a barrier between some internal (presumably trusted) network and the outside, public, and dangerous Internet where anybody can connect to you at any time. A NAT creates exactly that sort of barrier.
Dus een deur die fysieke toegang voorkomt is ook een firewall (ook als het geen brandvertragende eigenschappen heeft)?NAT heeft wat blokkerende functies maar is op zichzelf geen firewall. Aan een firewall kleven regels vast die verkeer toestaan terwijl bij NAT alleen de mapping belangrijk is. NAT boxjes hebben vaak wel een firewall maar standaard is NAT geen firewall, al zal het in de praktijk toch als firewall fungeren. De killer-feature volgens deze expert is het standaard gedrag, maar er is geen vereiste om niet alles standaard te blokkeren in een firewall of niet alles standaard door te sturen naar een bepaalde host bij NAT. Dus nee, NAT is niet de allerbeste firewall.
Interessant om over te discussiëren maar verder zou ik geen diensten afnemen van deze expert.
NAT samen met SPI is de beste firewall voor verkeer van buiten dat naar binnen wil zonder dat een device op mijn lokale netwerk daar om "gevraagd" heeft...
IPV6 is nog net niet helemaal klaar en nog nierlt zo veilig als IPV4. Er zitten nog steeds kinderziektes in. Het is dan ook aangeraden op meerdere websites om IPV4 te gebruiken voor een maximale beveiliging op dat niveau.
Door Anoniem: hoe wil je met NAT uitgaand verkeer blokken dan ?
Dus nee.. niet mee eens
Hoeveel personen doen dat ook werkelijk thuis? En dan bedoel ik hier gewoon de normale gebruikers mee. 95% van de gebruikers hebben aan NAT gewoon meer dan genoeg voor hun thuis netwerk. Dus nee.. niet mee eens
Door Anoniem: [IPv4 'IOT' _is_ een groot issue op moment , denkend aan de enorme DDoSen door IP camera's of recorders . Ik beschouw dat als een indicatie dat de 'nat' firewall totaal onvoldoende is .
Deze hangen of direct aan het Internet, gebruiken UPNP, of op NAT zijn regels aangemaakt om de services direct vanaf het Internet te benanderen. Dus of NAT zit er niet tussen, of is aangepast. Dan houd het op met iedere firewall.....
Ah interessante stelling dat NAT de beste firewalltechnologie is. Als firewall beheerder, en ik heb er wel een paar in mijn leven ontworpen, gebouwd en beheerd, is NAT maar een van de vele technologieën die worden toegepast voor een firewall.
Een verkeersstroom in een "echte" firewall is gebaseerd op verkeersstromen namelijk: inkomend (ingress) verkeer, doorsturen (forward) en het uitgaande (egress) verkeer.
Op elk van deze verkeersstromen maakt de beheerder een rule aan die aangeeft wat er met die verkeersstroom moet gebeuren. In het algemeen wordt NAT toegepast in een firewall op inkomende (Destination NAT) of uitgaande (Source NAT) verkeersstroom. En de NAT handeling wordt in het algemeen gecombineerd met een filter rule die de verkeerstroom toelaat of blokkeert (of er iets anders mee doet).
Om nou te stellen dat NAT een goede firewall technologie is zou je wel een beetje mogen nuanceren, er zijn meer technologieën. Wat dacht je van een null route (https://en.wikipedia.org/wiki/Null_route) om verkeer afkomstig van een bepaald IP address naar een blackhole te sturen, een null route kan heel effectief zijn voor het blokkeren van IP verkeer. Moderne Firewall technologie gaat zelfs nog een stap verder, IDS/IPS (layer 7 firewall) functionaliteit wordt tegenwoordig toegepast op de verkeersstromen en is in combinatie met NAT, filter rules en IPS best effectief. Last but not least, de term NAT kom je tegen in IPv4 omgevingen. In IPv6 omgevingen is NPT (Network Prefix Translation) is het vergelijkbare concept, zie deze RFC https://tools.ietf.org/html/rfc6296 en ik kan beamen dat ook in IPv6 NPT best effectief kan zijn. Maar ook hier geldt NPT is niet de beste firewall technologie, die bestaat namelijk niet.
Een verkeersstroom in een "echte" firewall is gebaseerd op verkeersstromen namelijk: inkomend (ingress) verkeer, doorsturen (forward) en het uitgaande (egress) verkeer.
Op elk van deze verkeersstromen maakt de beheerder een rule aan die aangeeft wat er met die verkeersstroom moet gebeuren. In het algemeen wordt NAT toegepast in een firewall op inkomende (Destination NAT) of uitgaande (Source NAT) verkeersstroom. En de NAT handeling wordt in het algemeen gecombineerd met een filter rule die de verkeerstroom toelaat of blokkeert (of er iets anders mee doet).
Om nou te stellen dat NAT een goede firewall technologie is zou je wel een beetje mogen nuanceren, er zijn meer technologieën. Wat dacht je van een null route (https://en.wikipedia.org/wiki/Null_route) om verkeer afkomstig van een bepaald IP address naar een blackhole te sturen, een null route kan heel effectief zijn voor het blokkeren van IP verkeer. Moderne Firewall technologie gaat zelfs nog een stap verder, IDS/IPS (layer 7 firewall) functionaliteit wordt tegenwoordig toegepast op de verkeersstromen en is in combinatie met NAT, filter rules en IPS best effectief. Last but not least, de term NAT kom je tegen in IPv4 omgevingen. In IPv6 omgevingen is NPT (Network Prefix Translation) is het vergelijkbare concept, zie deze RFC https://tools.ietf.org/html/rfc6296 en ik kan beamen dat ook in IPv6 NPT best effectief kan zijn. Maar ook hier geldt NPT is niet de beste firewall technologie, die bestaat namelijk niet.
@ anoniem 17:17: Welke kinderziektes in IP V6 bedoel je?
Ik heb op mijn XS4All lijn al heel lang IP V6 in gebruik, heb om te testen regelmatig van alles in en uitgeschakeld.
Enige waar ik elke keer achter kom is het gebrek aan mijn eigen kennis als er iets niet werkt.. Masking van interne adressen is bv standaard ingesteld. Security zit standaard in het protocol.
Het is wennen maar er zitten in mijn ogen zeer veer verbeteringen in IP V6, maar toelichting op wat ik inmiddels ontdekt heb is altijd welkom.
Ik heb op mijn XS4All lijn al heel lang IP V6 in gebruik, heb om te testen regelmatig van alles in en uitgeschakeld.
Enige waar ik elke keer achter kom is het gebrek aan mijn eigen kennis als er iets niet werkt.. Masking van interne adressen is bv standaard ingesteld. Security zit standaard in het protocol.
Het is wennen maar er zitten in mijn ogen zeer veer verbeteringen in IP V6, maar toelichting op wat ik inmiddels ontdekt heb is altijd welkom.
In 2017 mag je op z'n minst een firewall investeren die aan een Deep Packet Inspection(DPI) doet en dan ook nog gewenst DPI-SSL om het HTTPS/SSL verkeer te kunnen checken en daar een serie IPS,Anti-virus,Anti-Malware modules op los te laten om het "kwaad"buiten de deur te houden.
Hij praat alleen over een SPI firewall.(Stateful Packet Inspection). Dat klinkt heel leuk en fancy, maar checkt alleen de header van het packet. Dus of het http,https,ftp,smtp...etc..etc..is. Niet het data gedeelte van het packtet. Laat daar nu tegenwoordig net het gedeelte zijn waar de payload van de verschillende mal- en ransomware zich verstopt.
Hij praat alleen over een SPI firewall.(Stateful Packet Inspection). Dat klinkt heel leuk en fancy, maar checkt alleen de header van het packet. Dus of het http,https,ftp,smtp...etc..etc..is. Niet het data gedeelte van het packtet. Laat daar nu tegenwoordig net het gedeelte zijn waar de payload van de verschillende mal- en ransomware zich verstopt.
Waarom staat de blog van deze man als nieuws op security.nl? Mijn gedachte, vooral na lezen van de laatste opmerking in die blog "Note: Of course, no organization should use firewalls of any type. They break the "end-to-end" principle of the Internet, and thus should be banned by law." is dat de goede man gehacked is of dat hij iets sarcastisch probeert te schrijven, wat is mislukt. Wellicht is het een werkzoekende ZZP'er die door middel van een raar blog op probeert te vallen, dat is dan kennelijk wel gelukt ;-)
Zowel hier als in de paar reacties op zijn blog wordt zijn statement volledig om zeep geholpen. Wat een nonsens.
Zowel hier als in de paar reacties op zijn blog wordt zijn statement volledig om zeep geholpen. Wat een nonsens.
Door Anoniem: In 2017 mag je op z'n minst een firewall investeren die aan een Deep Packet Inspection(DPI) doet en dan ook nog gewenst DPI-SSL om het HTTPS/SSL verkeer te kunnen checken en daar een serie IPS,Anti-virus,Anti-Malware modules op los te laten om het "kwaad"buiten de deur te houden.
Hij praat alleen over een SPI firewall.(Stateful Packet Inspection). Dat klinkt heel leuk en fancy, maar checkt alleen de header van het packet. Dus of het http,https,ftp,smtp...etc..etc..is. Niet het data gedeelte van het packtet. Laat daar nu tegenwoordig net het gedeelte zijn waar de payload van de verschillende mal- en ransomware zich verstopt.
Zo te horen vat je het nog niet.Hij praat alleen over een SPI firewall.(Stateful Packet Inspection). Dat klinkt heel leuk en fancy, maar checkt alleen de header van het packet. Dus of het http,https,ftp,smtp...etc..etc..is. Niet het data gedeelte van het packtet. Laat daar nu tegenwoordig net het gedeelte zijn waar de payload van de verschillende mal- en ransomware zich verstopt.
Wat jij "headers" noemt (zijnde niet de data zelf) daarin staat o.a. naar welk IP-adres de data moet.
Het hele internet luistert in de eerste plaats naar die IP adressen, en de data wordt pas verwerkt bij de ontvanger.
Die kwaadaardige data kan dus pas kwaad doen als het eindpunt wordt bereikt, en daarvoor moet het packet door je router met SPI. SPI controleert of het packet "stateful" is, dus of het een logisch packet in een datastroom is en zo.
Als je PC recentelijk helemaal niet om die verbinding met dat IP-adres op die poort heeft gevraagd, dan wordt het packet bij de SPI tegengehouden. Want het packet is "niet logisch". Dus bereikt het niet zijn bestemming, en wordt de data niet uitgepakt. Ook een packet met in de header stateful IP en poort maar een onlogisch volgorde-nummer wordt geblockt.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
