Router a NAT ako firewall

[Pagan]

Zdravím,

v tomto ( http://www.pretaktovanie.sk/phpBB3/view ... 27#p431727" onclick="window.open(this.href);return false; ) príspevku faugusztin píše, že router a NAT sú najlepšie firewally.
Nevyznám sa moc v sieťach a teda by som sa chcel opýtať, čo znamená NAT (keďže články po nete sú trocha zložité na mňa )?
A ako zistím či som napojený cez router a je tvrdenie faugusztina pravdivé, že je to najlepší firewall?

Dik

[faugusztin]

NAT je Network Address Translation. Od providera dostanes nejaku verejnu IP. K internetu pripojis router, ktoremu bude tato IP adresa pridelena. Router bude v lokalnej sieti pridelovat IP v rozsahu lokalnych adries (192.168.x.x, 10.x.x.x). Kazdy stroj, ktory teda pojde do internetu musi poslat poziadavku cez router a ten danemu PC potom posle naspat odpoved. Co je ale podstatne, ze z internetu vidia pripadni utocnici len router - nevidia PC v lokalnej sieti. Najprv teda musia naburat router, a az potom mozu robit utoky priamo voci PC. Lenze nema router otvorene ziadne porty do internetu okrem tych, ktore vytvara na poziadanie voci danemu servru, tak kde by sa mali utocnici naburat ? Ovladanie mas casto obmedzene iba na lokalnu siet (HTTP/HTTPS)...

Jednoducho, router ti zabezpeci, ze utocnici nemozu vyuzit zname chyby Windows a zaroven ani casto nemaju ziadny zachytny bod pre utok, nakolko cez router vacsinou neposkytujes ziadny verejne viditelnu sluzbu.

Situacia sa meni, ked si presmerujes niektore vonkajsie porty routeru na lokalne PC, no i vtedy staci strazit zranitelnosti danych sluzieb. Napriklad ak si vonkajsi port 80 routeru presmerujes na HTTP server beziaci na niektorom PC, tak si treba zistovat, ci dany HTTP server netrpi nejakou zranitelnostou a ci ho netreba upgradovat. No zranitelnosti vyplyvajuce z OS su stale pre utocnika neviditelne - on znova vidi iba router a porty, ktore si presmeroval - nic viac.

Co sa tyka zistenia ci mas router - napis ake mas zariadenia pre pripojenie k internetu a to by malo stacit. Rozumej nazvy modemov a inych veci ktore mas pripojene medzi internetovym kablom a PC

[Pagan]

A teda ako zistím či mam router, modem, AP? Alebo je to všetko to isté. K internetu sa pripájam cez mikorvlnku, z antény ide kábel do krabice (router?modem?AP?) a z krabice do mojej mašiny.

Aká je šanca útoku, ak sa do mašiny dostane nejaké svinstvo? Dá sa pomocou neho nejak oslabiť ochrana cez router?

Edit: NAT je teda proces ktorý robí router? Správne pochopené?

[faugusztin]

No najjednoduchsie tak, ze nam napises typove oznacenie. Ale ak pojdes napr. na stranku http://www.showmyip.com" onclick="window.open(this.href);return false; , tak sa ti hore zobrazi tvoja verejna IP (u mna napriklad 89.173.26.xxx). Nasledne si spustis prikazovy riadok (Start>Run, napis cmd a stlac enter) a napises ipconfig, tak ti vyskoci nieco ako :

Kód: Vybrať všetko

Ethernet adapter Chello:

   Connection-specific DNS Suffix  . :
   IPv4 Address. . . . . . . . . . . : 192.168.1.103
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.1.1

Ako vidis, IPv4 Address je v lokalnom rozsahu (192.168.x.x, pripadne ako som pisal 10.x.x.x), verejna IP je ale ina => pouzivam NAT.

A ano, NAT je funkcionalita routra.

[Pagan]

Mám D-Link model: DAP-1160.

IP-adresa neverejná (?) je v lokálnom rozsahu(u mňa konkrétne 10.x.x.x) a je u mňa iná ako verejná. Takže predsa mám krabicu ako router?

A ak by sa našiel niekto ochotný...dá sa to, že zverejním model "krabice" nejako zneužiť? Napr. známou chybou firmware alebo pod.? A do akej miery by som nemal uvádzať kompletnú verejnú/neverejnú(?) IP-adresu?

[faugusztin]

Ano, si za NAT. Teoreticky je zverejnenie typu zvysenim rizika, prakticky ale nie. Preco ? Lebo exploity sa hladaju na hromadne pouzivane veci hlavne u firiem, teda Cisco a nie na nejake D-Linky. Je vhodne neuvadzat vonkajsiu IP, nakolko neprajnik ti moze sposobit neprijemnosti DoS ci DDos. Tam nejde o priame hackovanie, ale proste ti zahltia linku/router - co bez konkretnej IP ide tazko (na providera je omnoho tazsie robit DDos utok).

[Pagan]

Ako by sa dalo teda na môj stroj dostať....stačí v teoretickej rovine.

Musel by útočník poznať obe IP? Ako by ma našiel za verejnou IP ak sme za ňou viacerí v sieti? Lebo ak svoju lokálnu IP môžem zverejňovať (teda si sa k nej nevyjadril tak to beriem takto) tak je teoreticky ľahšie ma identifikovať v sieti za verejnou IP?

[faugusztin]

Je viacero moznosti :
1) nerealna - musi hacknut router (musi poznat tvoju verejnu IP) a nasledne exploitmi utocit na tvoje PC (musi poznat tvoju internu IP).
2) ma na tvojom PC trojana a nejaky router ci NAT nehra rolu, cez verejneho prostrednika (nejaky server na internete) posiela prikazu trojanovi u teba.

To su zhruba hlavne moznosti hacku

[Pagan]

Takže ak si nenaťahám do kompiku kdejakú čvargu tak môžem žiť spokojne.

Mám ešte poslednú otázku...aký je ten rozdiel medzi routerom, modemom a AP?

[faugusztin]

Kazdy robi inu funkciu. Router je o smerovani paketov (z WAN do LAN), modem je o prepojeni Ethernet siete na siet ineho typu (DSL, kablovy internet, telefona linka atd) a AP je o rozsireni siete aj na WiFi technologiu (tj pristup do siete bez kablu).

Moze to byt jedno zariadenie, ale nemusi.

[Pagan]

Veľká vďaka ... zas som o niečo múdrejší ...

Ak tu už nik nemá dotazy poprosím LOCK.

[faugusztin]

LOCK sa zvykne iba ak porusis pravidla fora, v pripade velkeho flamewaru alebo v pripade poziadania v bazari. Tu ziadnu z tychto podmienok zatial nesplname

[Pagan]

myslel som si, že sa ma locknut aj vyriešený topic.

Ak nie tak sa ospravedlňujem za spam ...