Router=netřeba firewall?

[Octopuss]

Včera jsem se známým nakousnul zajímavou debatu. Tvrdil něco ve smyslu, že když je člověk za routerem, prakticky nepotřebuje firewall, protože se všechno svinstvo už z principu NATu odfiltruje/neprojde skrz... Co myslíte?
Pokud to chápu správně (a je to pravda), s neveřejnou IP se PC nedá najít žádným scannerem, nedá se na něj prakticky pokoušet připojit atd. ... V takovým případě jediná šance, jak chytnout nějaký svinstvo, je zavirovanej mail, nebo něco sám stáhnout....
Co myslíte?

[Petrik]

bezne levne routery maji obvykle krome NAT zaroven stavovy firewall a protoze jich 99% bezi na linuxu/BSD, pro bezne pouziti by to melo byt dostatecne bezpecne. Pokud firewall nemaji, tak samotny NAT lze prekonat.

[Octopuss]

Hmm. Překonat se dá všechno, spíš jsem měl na mysli skutečnost, že vidět je jen IP routeru, čili k PC jako takovýmu se zřejmě nedá dostat, pokud člověk přesně neví "co hledat"..
Firewall co jsem koukal ten můj Asus umí - bohužel nejde zjistit, co přesně dělá.

[JejKey]

že by firewall nebyl vůbec potřeba, mi nepřijde. minimálně něco na filtrování aplikací, popř. "nedůveryhodných" IP se hodí vždycky. osobně mám k routeru ještě Comodo firewall (aplikační filtr) a PeerGuargian2 (blokace IP). můžu doporučit

[JonnZ]

najskor vacsina routerov nejaky firewall ma, ale clovek tazko zisti ako (a ci vobec) funguje

je pravda ze poznam viac pc ktore takto (bez fw, za routerom) funguju bez problemu len s antivirom, ale ja by som to urcite neriskoval.
clovek ma k dispozicii znacny vyber free fw, tak na to nevidim dovod.

[tomase]

Za routrom firewall nepouzivam uz roky rokuce - zbytocnost. NAT bohate staci.

[motorolarulez]

Pokud ti "poda ruku" nekdo za NATem a tim ti vlastne vyslapne cesticku, mas skoro vyhrano. Staci jen uzivatele prinutit, aby ti tu cestu otevrel (ukecat, spustit program, ...).

Kazdopadne si myslim, ze je dost kratkozrake vyuzivat NAT jako firewall.

[Jezevec]

Mno panove, NAT neni !!! ZADNA !!! ochrana. Nat samozrejme muze svym zpusoben vnitrni sit odstinit, ale pokud na tu sit nekdo bude chtit zautocit, tak NAT sam o sobe nicemu nebrani. Neni problem komunikovat primo s vnitrnim strojem s privatni IP.

Pokusim se vysvetlit:

inet ...... (a.b.c.d) NAT (192.168.1.1/24) .... (192.168.1.2/24) PC

z inetu prijde paket na natujici stroj, ktery ma cilovou adresu 192.168.1.2 a zdrojova je rekneme k.l.m.n. Co myslite, ze s takovym paketem natujici stroj udela ? Zna cilovy subnet, tudiz zna do nej i routu, tudiz paket duruci. Nasledne cilovy stroj uplne standardne odpovi (nat pravdepodobne zmeni zdrojovou IP, ale to je pro utocnika predpokladany jev) a komunikace je navazana.

Tudiz je treba na tom natujicim stroji nastavit (firewall), aby v zadnem pripade nedorucoval pakety jine, nez odpovidajici na zevnitr vyvolanou komunikaci (rika se tomu stavovy firewall - to je to, co hledejte v dokumentaci vsemoznych krabicek).

Spravne (RFC) by navic na kazdem routeru (at uz vasem, nebo vaseho ISP, nebo kdekoli v internetu) melo byt nastaveno zahazovani komunikace z privatnich siti = z vaseho natu ven by nemel odejit ani jediny paket se zdrojovou/cilovou adresou v privatnim rozsahu. Jenze toto nebyva pravidlem nejen na soukromych GW, ale casto ani na routerech ISP, tudiz moznosti napadeni vasi site jsou pomerne rozsahle.

Jop, abych nezapomel, samozrejme google, jsou na toto tema popsany cele MB webovych stranek a to i cesky.

[Octopuss]

Jezevec: Asi máš pravdu, ale zase si myslím, že situace, kterou popisuješ, předpokládá, že útočník ví po čem přesně jde. Tu veřejnou IP co má router si samozřejmě např. může vyscanovat, ale nikdo už neví, co je to přesně zač... tzn. mi nepřijde moc pravděpodobný, že by se jen tak dostal do vnitřní sítě...

[Jezevec]

Prave ze to pravdepodobny je docela dost. Napr ja mam klienta, kterej funguje jako bridge, za nim mam router a samo NAT (vzhledem k tomu ze mam pridelenejch vic IP, tak nemusim natovat porty) + FW. Kdyz si pustim tcpdump na tom venkovnim rozhrani, tak behem par vterin nachytam spoustu privatnich IPcek, vcetne zdroju odkud. Tudiz neni problem zacit zjistovat komu tam co bezi.
+ na ripe se da zjistit kdo ma prideleny jaky rozsahy, coz znamena, ze snadno zjistis jaci ISP ve tvym okoli pusobi, jejich rozsahy a na nich bude pravdepodobne spousta velice spatne zabezpecenych natu.

Ona spousta lidi nema vubec tuseni co je/neni mozny, onehda se kamoska strasne divila, ze jde poslat mail pod cizim jmenem. Tak sem ji poslal mail z "jejiho". Samo sem nijak neresil maskovani odesilatele = slo to snadno zjistit z hlavicek, ale BFU to proste nevi.

Dalsi slusny nastroj je nmap, pri rozumnym nastaveni ses schopnej prohledat statisice adres behem par hodin - spousta blbe nastavenejch krabek se da identifikovat zvenku.

[Octopuss]

Co se týče scannerů apod., co třeba bývalej Ethereal, nyní Wireskark? Slušnej mi přišel i Ostrosoft...

[Petrik]

2 Jezevec: ano, souhlasim ze NAT nemusi znamenat dostatecnou ochranu, ale ja jsem se snad jeste nesetkal s routerem, ktery by zaroven nemel firewall. IMHO vsechny ultra levne tplinky, ovisy a pod. ho maji, pravda je ze ne vzdy je defaultne zapnuty.

[Peca-on-line]

Problém těch lacinejch krabiček často je, že zapnutí firewallu ti zabije už tak dost mizernou rychlost.

[Fox!MURDER]

Mno panove, NAT neni !!! ZADNA !!! ochrana. Nat samozrejme muze svym zpusoben vnitrni sit odstinit, ale pokud na tu sit nekdo bude chtit zautocit, tak NAT sam o sobe nicemu nebrani. Neni problem komunikovat primo s vnitrnim strojem s privatni IP.

Pokusim se vysvetlit:

inet ...... (a.b.c.d) NAT (192.168.1.1/24) .... (192.168.1.2/24) PC

z inetu prijde paket na natujici stroj, ktery ma cilovou adresu 192.168.1.2 a zdrojova je rekneme k.l.m.n. Co myslite, ze s takovym paketem natujici stroj udela ? Zna cilovy subnet, tudiz zna do nej i routu, tudiz paket duruci. Nasledne cilovy stroj uplne standardne odpovi (nat pravdepodobne zmeni zdrojovou IP, ale to je pro utocnika predpokladany jev) a komunikace je navazana.
[/B]

hmhm. napada te rozumna a vetsinou fcni cesta, jak tam takovej packet dopravit z jinyho segmentu?

[Jezevec]

Bohuzel napada, netvrdim ze vzdy, ale narazil sem na dost routeru na kterych funguje source routing.

[Fox!MURDER]

Bohuzel napada, netvrdim ze vzdy, ale narazil sem na dost routeru na kterych funguje source routing.

co je dost? 1%? a jeste s tim, ze to vetsinou musi projit skrz nejaky tranzity, kde to nefunguje vubec?

[Jezevec]

Dost je 20-30% routeru na kterejch jsou primo uzivatele, dost casto je to krabka kterou nekdo nekam strcil a nejakou konfiguraci neresil. IMO 1000+ potencialnich zdroju utoku je dost.

Nehlede na to, ze pokud v dany siti chci nekoho napadnout, tak si zvenku najdu nezalepeny system, ovladnu stroj a uz se muzu po siti prochazet i bez slozitycho reseni jak do ni zvenku - vcetne primyho pristupu n a vsechny NATy.

[tomase]

teoria dobra uved do praxi a mozme pokracovat ...