1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Fünf von sechs Routern…

Doppel-NAT

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Doppel-NAT

    Autor: logged_in 05.10.18 - 15:01

    Dürfte wohl das sicherste sein.

    Den äußeren Router immer als kompromittiert ansehen, mit dem inneren das Verhalten des äußeren überwachen.

    Dann hat man nur noch das Problem, das der innere vom Inneren des Netzwerks angegriffen (modifiziert) werden kann.

  2. Re: Doppel-NAT

    Autor: elcaron 05.10.18 - 15:07

    Welchen Vorteil soll das gegenüber stateful inspection haben?
    Warum sollte der zweite Router nicht ähnlich schnell vom übernommen ersten aus übernommen werden?

  3. Re: Doppel-NAT

    Autor: logged_in 05.10.18 - 15:27

    Ich gehe mal davon aus, dass Du Stateful Inspection auf einen zweiten Gerät (Firewall, die bestimmt auch problemlos IP Masquerading / NAT beherrscht) zwischen Router und Intranet meinst, und nicht irgendwie einen DSL-Router mit integrierter Firewall, den man ja nicht vertrauen kann.

    Die Bandbreite ist der Vorteil. NAT ist saudumm, wunderbar effizient. Paket geht raus? Source-IP/Port umschreiben. Paket kommt an? Falls Mapping gefunden: Destination-IP/Port umschreiben, ansonsten wegschmeißen. Alles andere, einkommende, auch andere Protokolle, können getrost weggeschmissen werden, es sei denn, es gibt eine Portmapping-Regel für ein Protokoll/Port, da wird nur dumm weitergeleitet.

    Ist auch wesentlich einfacher zu Konfigurieren.

  4. Re: Doppel-NAT

    Autor: narfomat 05.10.18 - 16:45

    doppel-nat!! der TRAUM eines jeden admins... haha! nice one...

  5. Re: Doppel-NAT

    Autor: logged_in 05.10.18 - 16:47

    stateful inspection!! der Traum jeder Hausfrau... haha! nice one...

  6. Re: Doppel-NAT

    Autor: ashahaghdsa 05.10.18 - 16:57

    Das müssen dann unterschiedliche Geräte sein ja? Weil wenn es das selbe wäre, dann kann man vom gehackte ersten router ja direkt den zweiten hacken. Geht natürlich dennoch, aber man braucht für zwei Geräte exploits.
    Warum nicht gleich 5x NAT? Bei 5/6tel Chance einen schlechten Router zu erwischen senkt das die Chance ins Heimnetz durchdringen zu können auf 40%!

  7. Re: Doppel-NAT

    Autor: logged_in 05.10.18 - 17:03

    Wenn der zweite den ersten auf verdächtiges Verhalten hin überwacht, dann dürfte das mit der Wahrscheinlichkeitsrechnung nicht mehr so hinhauen.

    Sobald der eine gehackt wird, wird dieser erstmal versuchen sich einen Überblick über das Netzwerk zu verschaffen. IGMP Multicasts, Router Advertisements, Portscans von "interessanten" Geräten. Das ist alles Traffic, der vom inneren Gerät entdeckt werden kann.

    Die wenigsten dürften wohl so fähig sein auf Botnetz-Automationsniveau auch einen inneren, "besseren" zu Hacken. Bei echten Hackern dürfte das bestimmt ganz anders aussehen.

  8. Re: Doppel-NAT

    Autor: elcaron 05.10.18 - 18:42

    Ja, das meine ich. In jeder NAT Config, die ich bisher gesehen habe, ist SI für die Forward Chain sowieso enthalten. Masquerading ist völlig unnötig, solange der äußere Router statische Routen kann.

  9. Re: Doppel-NAT

    Autor: xploded 05.10.18 - 19:00

    elcaron schrieb:
    --------------------------------------------------------------------------------
    > Masquerading ist völlig unnötig,
    > solange der äußere Router statische Routen kann.

    *Hust* - 192.168/16 - wer damit kommt, kommt nicht weit. Masquerading unnötig, ja?

  10. Re: Doppel-NAT

    Autor: mac4ever 05.10.18 - 21:59

    Hatte ich automatisch, weil mein bereitgestellter Vodafonerouter lange nicht so weit reicht wie das bereits installierte Airport extreme. Ich hatte nur getestet, ob es irgendwelche Geschwindigkeitsnachteile gibt. Gab es aber nicht und ich bin sehr zufrieden mit der Konfiguration.

  11. Re: Doppel-NAT

    Autor: fuzzy 06.10.18 - 11:43

    xploded schrieb:
    --------------------------------------------------------------------------------
    > Masquerading unnötig, ja?

    Ja. Einfach ganz normales Routing benutzen, ohne SNAT/MASQUERADE. Selbst die billigsten Schrott-Router haben oft die Möglichkeit, statische Routen einzutragen. Das ist die einzige Voraussetzung dafür.

    Mit IPv6 ist es ein bisschen schwieriger, aber auch machbar.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  12. Re: Doppel-NAT

    Autor: fuzzy 06.10.18 - 11:45

    logged_in schrieb:
    --------------------------------------------------------------------------------
    > NAT ist saudumm

    Ja, außer dass es halt Zustand hat. Daher: Stateful.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  13. Re: Doppel-NAT

    Autor: rv112 06.10.18 - 11:49

    Eben gerade nicht. Reines Modem als Bridge und dahinter eine vernünftige IDS Firewall.

  14. Re: Doppel-NAT

    Autor: fuzzy 06.10.18 - 11:58

    rv112 schrieb:
    --------------------------------------------------------------------------------
    > Eben gerade nicht. Reines Modem als Bridge und dahinter eine vernünftige
    > IDS Firewall.

    Ich sehe nicht was das mit meinem Beitrag zu tun hätte...?

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  15. Re: Doppel-NAT

    Autor: xploded 06.10.18 - 12:11

    fuzzy schrieb:
    --------------------------------------------------------------------------------
    > xploded schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Masquerading unnötig, ja?
    >
    > Ja. Einfach ganz normales Routing benutzen, ohne SNAT/MASQUERADE. Selbst
    > die billigsten Schrott-Router haben oft die Möglichkeit, statische Routen
    > einzutragen. Das ist die einzige Voraussetzung dafür.
    >
    > Mit IPv6 ist es ein bisschen schwieriger, aber auch machbar.

    Dann route mal dein privates Netz. Bin gespannt, wie du das anstellen willst. Du hast scheinbar keine Ahnung, wovon du sprichst.

  16. Re: Doppel-NAT

    Autor: fuzzy 06.10.18 - 14:07

    Hier ist von Doppel-NAT die Rede. Statt Doppel-NAT kann man auch einmal NAT machen (auf dem äußeren Router) und danach normales Routing (mit Firewall natürlich) betreiben. Ja, mit privaten Subnetzen, denn intern kann ich routen wie ich will.

    Vielleicht solltest du erstmal nachdenken bevor du deine mangelnde Fantasie zur Schau stellst. Mein Netzwerk ist exakt so aufgebaut, seit Jahren. Und es funktioniert, sowohl mit IPv4 als auch mit IPv6.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  17. Re: Doppel-NAT

    Autor: rv112 06.10.18 - 20:57

    fuzzy schrieb:
    --------------------------------------------------------------------------------
    > rv112 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Eben gerade nicht. Reines Modem als Bridge und dahinter eine vernünftige
    > > IDS Firewall.
    >
    > Ich sehe nicht was das mit meinem Beitrag zu tun hätte...?

    Dass mit doppel NAT IDS nicht sauber funktioniert. Dafür braucht es die Public IP's.

  18. Re: Doppel-NAT

    Autor: fuzzy 06.10.18 - 22:08

    Ja, hat halt wie gesagt halt nix mit meinem Beitrag zu tun, der lediglich eine Feststellung getroffen hat: Dynamisches NAT impliziert immer Stateful Packet Inspection.

    Ob ein weiter außen liegendes NAT IDS beeinträchtigt oder nicht kann ich nicht beurteilen.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  19. Re: Doppel-NAT

    Autor: derdiedas 07.10.18 - 18:13

    Sobald der "innere" router gehackt ist verhält der sich ungewöhnlich und das kann von einem IDS System im eigentlich leerem zwischen Subnetz recht gut erkannt werden. Wenn man z.B. SNORT + Guardium einsetzt kann man recht einfach ohne großes Risiko von False Positive reagieren.

    Prinzipiell gilt eh segmentiere wo du nur kannst - somit wird ein Angriff erstens wahrscheinlicher erkannt, und zweitens sind die Folgen begrenzter. Und Deep Paket Inspection, nichts als Sneakoil für die Tonne. (http://www.etinc.com/53/The-Case-Against-Deep-Packet-Inspection)

  20. Re: Doppel-NAT

    Autor: logged_in 07.10.18 - 19:56

    Wozu willst du aber dem sonst leeren Zwischenetz die Internas deines Intranets verraten. Bei Nur-SPI wird der gehackte Äußere sich eine wunderbare Tabelle aller Geräte, die nach draußen Kommunizieren, aufbauen können. Lässt Du es einfach eine genattete Zwischenstufe sein, dann enthält dieses Segment keine Infos über die Internas. Alles kommt nur von einem Gerät. Die ARP-Tabelle meines Unitymedia-Gateways hat nur einen einzigen Eintrag: den meines echten Routers.

    In diese Zwischennetz lässt sich auch schön ein RasPi als HTTP-Proxy einrichten, der ebenfalls Strohdumm über die Internas ist. Ausser über den einen portgemappten Port eines Servers im Intranet braucht der ja weiter nichts zu wissen; ein stinknormaler Port der als HTTP oder HTTPS-Port fungiert.

    Mach das mit Nur-SPI, sobald der Rapsi gehackt ist, war's das dann. Da braucht dann nicht mal der äußere Router gehackt werden.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. BAM Bundesanstalt für Materialforschung und -prüfung, Berlin-Steglitz (Home-Office möglich)
  2. Stadt Pfaffenhofen a. d. Ilm, Pfaffenhofen a. d. Ilm
  3. ilum:e Informatik ag, Mainz
  4. MüKo Maschinenbau GmbH, Weinstadt bei Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Trine 4: The Nightmare Prince für 11,99€, Dead Alliance für 3,99€, Road Rage für 2...
  2. 49,99€
  3. 48,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de