Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Fünf von sechs Routern…

Doppel-NAT

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Doppel-NAT

    Autor: logged_in 05.10.18 - 15:01

    Dürfte wohl das sicherste sein.

    Den äußeren Router immer als kompromittiert ansehen, mit dem inneren das Verhalten des äußeren überwachen.

    Dann hat man nur noch das Problem, das der innere vom Inneren des Netzwerks angegriffen (modifiziert) werden kann.

  2. Re: Doppel-NAT

    Autor: elcaron 05.10.18 - 15:07

    Welchen Vorteil soll das gegenüber stateful inspection haben?
    Warum sollte der zweite Router nicht ähnlich schnell vom übernommen ersten aus übernommen werden?

  3. Re: Doppel-NAT

    Autor: logged_in 05.10.18 - 15:27

    Ich gehe mal davon aus, dass Du Stateful Inspection auf einen zweiten Gerät (Firewall, die bestimmt auch problemlos IP Masquerading / NAT beherrscht) zwischen Router und Intranet meinst, und nicht irgendwie einen DSL-Router mit integrierter Firewall, den man ja nicht vertrauen kann.

    Die Bandbreite ist der Vorteil. NAT ist saudumm, wunderbar effizient. Paket geht raus? Source-IP/Port umschreiben. Paket kommt an? Falls Mapping gefunden: Destination-IP/Port umschreiben, ansonsten wegschmeißen. Alles andere, einkommende, auch andere Protokolle, können getrost weggeschmissen werden, es sei denn, es gibt eine Portmapping-Regel für ein Protokoll/Port, da wird nur dumm weitergeleitet.

    Ist auch wesentlich einfacher zu Konfigurieren.

  4. Re: Doppel-NAT

    Autor: narfomat 05.10.18 - 16:45

    doppel-nat!! der TRAUM eines jeden admins... haha! nice one...

  5. Re: Doppel-NAT

    Autor: logged_in 05.10.18 - 16:47

    stateful inspection!! der Traum jeder Hausfrau... haha! nice one...

  6. Re: Doppel-NAT

    Autor: ashahaghdsa 05.10.18 - 16:57

    Das müssen dann unterschiedliche Geräte sein ja? Weil wenn es das selbe wäre, dann kann man vom gehackte ersten router ja direkt den zweiten hacken. Geht natürlich dennoch, aber man braucht für zwei Geräte exploits.
    Warum nicht gleich 5x NAT? Bei 5/6tel Chance einen schlechten Router zu erwischen senkt das die Chance ins Heimnetz durchdringen zu können auf 40%!

  7. Re: Doppel-NAT

    Autor: logged_in 05.10.18 - 17:03

    Wenn der zweite den ersten auf verdächtiges Verhalten hin überwacht, dann dürfte das mit der Wahrscheinlichkeitsrechnung nicht mehr so hinhauen.

    Sobald der eine gehackt wird, wird dieser erstmal versuchen sich einen Überblick über das Netzwerk zu verschaffen. IGMP Multicasts, Router Advertisements, Portscans von "interessanten" Geräten. Das ist alles Traffic, der vom inneren Gerät entdeckt werden kann.

    Die wenigsten dürften wohl so fähig sein auf Botnetz-Automationsniveau auch einen inneren, "besseren" zu Hacken. Bei echten Hackern dürfte das bestimmt ganz anders aussehen.

  8. Re: Doppel-NAT

    Autor: elcaron 05.10.18 - 18:42

    Ja, das meine ich. In jeder NAT Config, die ich bisher gesehen habe, ist SI für die Forward Chain sowieso enthalten. Masquerading ist völlig unnötig, solange der äußere Router statische Routen kann.

  9. Re: Doppel-NAT

    Autor: xploded 05.10.18 - 19:00

    elcaron schrieb:
    --------------------------------------------------------------------------------
    > Masquerading ist völlig unnötig,
    > solange der äußere Router statische Routen kann.

    *Hust* - 192.168/16 - wer damit kommt, kommt nicht weit. Masquerading unnötig, ja?

  10. Re: Doppel-NAT

    Autor: mac4ever 05.10.18 - 21:59

    Hatte ich automatisch, weil mein bereitgestellter Vodafonerouter lange nicht so weit reicht wie das bereits installierte Airport extreme. Ich hatte nur getestet, ob es irgendwelche Geschwindigkeitsnachteile gibt. Gab es aber nicht und ich bin sehr zufrieden mit der Konfiguration.

    https://aktuellezeitkultur.wordpress.com/

  11. Re: Doppel-NAT

    Autor: fuzzy 06.10.18 - 11:43

    xploded schrieb:
    --------------------------------------------------------------------------------
    > Masquerading unnötig, ja?

    Ja. Einfach ganz normales Routing benutzen, ohne SNAT/MASQUERADE. Selbst die billigsten Schrott-Router haben oft die Möglichkeit, statische Routen einzutragen. Das ist die einzige Voraussetzung dafür.

    Mit IPv6 ist es ein bisschen schwieriger, aber auch machbar.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  12. Re: Doppel-NAT

    Autor: fuzzy 06.10.18 - 11:45

    logged_in schrieb:
    --------------------------------------------------------------------------------
    > NAT ist saudumm

    Ja, außer dass es halt Zustand hat. Daher: Stateful.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  13. Re: Doppel-NAT

    Autor: rv112 06.10.18 - 11:49

    Eben gerade nicht. Reines Modem als Bridge und dahinter eine vernünftige IDS Firewall.

  14. Re: Doppel-NAT

    Autor: fuzzy 06.10.18 - 11:58

    rv112 schrieb:
    --------------------------------------------------------------------------------
    > Eben gerade nicht. Reines Modem als Bridge und dahinter eine vernünftige
    > IDS Firewall.

    Ich sehe nicht was das mit meinem Beitrag zu tun hätte...?

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  15. Re: Doppel-NAT

    Autor: xploded 06.10.18 - 12:11

    fuzzy schrieb:
    --------------------------------------------------------------------------------
    > xploded schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Masquerading unnötig, ja?
    >
    > Ja. Einfach ganz normales Routing benutzen, ohne SNAT/MASQUERADE. Selbst
    > die billigsten Schrott-Router haben oft die Möglichkeit, statische Routen
    > einzutragen. Das ist die einzige Voraussetzung dafür.
    >
    > Mit IPv6 ist es ein bisschen schwieriger, aber auch machbar.

    Dann route mal dein privates Netz. Bin gespannt, wie du das anstellen willst. Du hast scheinbar keine Ahnung, wovon du sprichst.

  16. Re: Doppel-NAT

    Autor: fuzzy 06.10.18 - 14:07

    Hier ist von Doppel-NAT die Rede. Statt Doppel-NAT kann man auch einmal NAT machen (auf dem äußeren Router) und danach normales Routing (mit Firewall natürlich) betreiben. Ja, mit privaten Subnetzen, denn intern kann ich routen wie ich will.

    Vielleicht solltest du erstmal nachdenken bevor du deine mangelnde Fantasie zur Schau stellst. Mein Netzwerk ist exakt so aufgebaut, seit Jahren. Und es funktioniert, sowohl mit IPv4 als auch mit IPv6.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  17. Re: Doppel-NAT

    Autor: rv112 06.10.18 - 20:57

    fuzzy schrieb:
    --------------------------------------------------------------------------------
    > rv112 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Eben gerade nicht. Reines Modem als Bridge und dahinter eine vernünftige
    > > IDS Firewall.
    >
    > Ich sehe nicht was das mit meinem Beitrag zu tun hätte...?

    Dass mit doppel NAT IDS nicht sauber funktioniert. Dafür braucht es die Public IP's.

  18. Re: Doppel-NAT

    Autor: fuzzy 06.10.18 - 22:08

    Ja, hat halt wie gesagt halt nix mit meinem Beitrag zu tun, der lediglich eine Feststellung getroffen hat: Dynamisches NAT impliziert immer Stateful Packet Inspection.

    Ob ein weiter außen liegendes NAT IDS beeinträchtigt oder nicht kann ich nicht beurteilen.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  19. Re: Doppel-NAT

    Autor: derdiedas 07.10.18 - 18:13

    Sobald der "innere" router gehackt ist verhält der sich ungewöhnlich und das kann von einem IDS System im eigentlich leerem zwischen Subnetz recht gut erkannt werden. Wenn man z.B. SNORT + Guardium einsetzt kann man recht einfach ohne großes Risiko von False Positive reagieren.

    Prinzipiell gilt eh segmentiere wo du nur kannst - somit wird ein Angriff erstens wahrscheinlicher erkannt, und zweitens sind die Folgen begrenzter. Und Deep Paket Inspection, nichts als Sneakoil für die Tonne. (http://www.etinc.com/53/The-Case-Against-Deep-Packet-Inspection)

  20. Re: Doppel-NAT

    Autor: logged_in 07.10.18 - 19:56

    Wozu willst du aber dem sonst leeren Zwischenetz die Internas deines Intranets verraten. Bei Nur-SPI wird der gehackte Äußere sich eine wunderbare Tabelle aller Geräte, die nach draußen Kommunizieren, aufbauen können. Lässt Du es einfach eine genattete Zwischenstufe sein, dann enthält dieses Segment keine Infos über die Internas. Alles kommt nur von einem Gerät. Die ARP-Tabelle meines Unitymedia-Gateways hat nur einen einzigen Eintrag: den meines echten Routers.

    In diese Zwischennetz lässt sich auch schön ein RasPi als HTTP-Proxy einrichten, der ebenfalls Strohdumm über die Internas ist. Ausser über den einen portgemappten Port eines Servers im Intranet braucht der ja weiter nichts zu wissen; ein stinknormaler Port der als HTTP oder HTTPS-Port fungiert.

    Mach das mit Nur-SPI, sobald der Rapsi gehackt ist, war's das dann. Da braucht dann nicht mal der äußere Router gehackt werden.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. VS HEIBO Logistics GmbH, Verden (Aller)
  2. Computacenter AG & Co. oHG, verschiedene Standorte
  3. Kunstakademie Münster, Münster
  4. Computacenter AG & Co. oHG, Stuttgart, Berlin, Ratingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 3,74€
  2. 4,32€
  3. 1,72€
  4. (-87%) 2,50€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Kickstarter: Scheitern in aller Öffentlichkeit
Kickstarter
Scheitern in aller Öffentlichkeit

Kickstarter ermöglicht es kleinen Indie-Teams, die Entwicklung ihres Spiels zu finanzieren. Doch Geld allein ist nicht genug, um alle Probleme der Spieleentwicklung zu lösen. Und was, wenn das Geld ausgeht?
Ein Bericht von Daniel Ziegener

  1. Killerwhale Games Verdacht auf Betrug beim Kickstarter-Erfolgsspiel Raw
  2. The Farm 51 Chernobylite braucht Geld für akkurates Atomkraftwerk
  3. E-Pad Neues Android-Tablet mit E-Paper-Display und Stift

Orico Enclosure im Test: Die NVMe-SSD wird zum USB-Stick
Orico Enclosure im Test
Die NVMe-SSD wird zum USB-Stick

Wer eine ältere NVMe-SSD über hat, kann diese immer noch als sehr schnellen USB-Stick verwenden: Preiswerte Gehäuse wie das Orico Enclosure nehmen M.2-Kärtchen auf, der Bridge-Chip könnte aber flotter sein.
Ein Test von Marc Sauter

  1. Server Supermicro mit Chassis für 40 E1.S-SSDs auf 2 HE
  2. Solid State Drive Longsys entwickelt erste SSD nur mit chinesischen Chips
  3. SSDs Samsung 970 Pro mit 2TB und WD Blue 3D mit 4TB

Ryzen 3900X/3700X im Test: AMDs 7-nm-CPUs lassen Intel hinter sich
Ryzen 3900X/3700X im Test
AMDs 7-nm-CPUs lassen Intel hinter sich

Das beste Prozessor-Design seit dem Athlon 64: Mit den Ryzen 3000 alias Matisse bringt AMD sehr leistungsstarke und Energie-effiziente CPUs zu niedrigen Preisen in den Handel. Obendrein laufen die auch auf zwei Jahre alten sowie günstigen Platinen mit schnellem DDR4-Speicher.
Ein Test von Marc Sauter

  1. Ryzen 3000 BIOS-Updates schalten PCIe Gen4 für ältere Boards frei
  2. Mehr Performance Windows 10 v1903 hat besseren Ryzen-Scheduler
  3. Picasso für Sockel AM4 AMD verlötet Ryzen 3400G für flottere iGPU

  1. Ursula von der Leyen: Von "Zensursula" zur EU-Kommissionspräsidentin
    Ursula von der Leyen
    Von "Zensursula" zur EU-Kommissionspräsidentin

    Nach der "Rede ihres Lebens" hat das Europäische Parlament am Dienstagabend Ursula von der Leyen an die Spitze der EU-Kommission gewählt. Die Christdemokratin will sich in ihrem neuen Amt binnen 100 Tagen für einen Ethik-Rahmen für KI und ambitioniertere Klimaziele stark machen. Den Planeten retten, lautet ihr ganz großer Vorsatz.

  2. Kryptowährung: Facebook möchte Kritik an Libra ausräumen
    Kryptowährung
    Facebook möchte Kritik an Libra ausräumen

    Facebooks geplante Digitalwährung Libra kommt in der Politik nicht gut an. Bei einer Anhörung vor dem US-Senat verteidigt Facebook-Manager David Marcus die Währung. Bundesregierung und Bundesbank wollen sie lieber verhindern.

  3. PC Engine Core Grafx: Konami kündigt drei Versionen der gleichen Minikonsole an
    PC Engine Core Grafx
    Konami kündigt drei Versionen der gleichen Minikonsole an

    In Europa heißt sie PC Engine Core Grafx Mini, für Japan und die USA hat Konami andere Namen und ein anderes Design. Die Retrokiste soll im März 2020 mit rund 50 vorinstallierten Spielen erscheinen. Der Kauf in Deutschland läuft minimal komplizierter ab als üblich.


  1. 20:10

  2. 18:33

  3. 17:23

  4. 16:37

  5. 15:10

  6. 14:45

  7. 14:25

  8. 14:04