Nat?

Tråden skapades och har fått 6 svar. Det senaste inlägget skrevs .
1

Jag äger en D-link DL-514 och tänkte göra min tillvaro lite säkrare!
Har läst här i forumet om att man skall "slå på NAT" så att ingen kan göra ett intrång!
Frågan är: Vad är det och... hur gör jag detta?

NAT är det protokoll som används för översättning av privata ipadresser (oftast 192.168.. eller 10.10...) till en publik ipadress på internet. Om du har "bredbandsdelning" påslaget, har du NAT påslaget.
Din NAT-router är alltså den pryl som syns på internet. För att trafik skall kunna komma in utifrån krävs att de aktuella tcp- och udpportarna har forwardats till någon av dina datorer på det privata nätet.

Har man tex. bredbandsbolaget behöver man inte någon NAT-router. De ipadresser du har i datorerna är publika ipadresser på internet.

Ursprungligen av Kristofer:

NAT är det protokoll som används för översättning av privata ipadresser (oftast 192.168.. eller 10.10...) till en publik ipadress på internet. Om du har "bredbandsdelning" påslaget, har du NAT påslaget.
Din NAT-router är alltså den pryl som syns på internet. För att trafik skall kunna komma in utifrån krävs att de aktuella tcp- och udpportarna har forwardats till någon av dina datorer på det privata nätet.

Har man tex. bredbandsbolaget behöver man inte någon NAT-router. De ipadresser du har i datorerna är publika ipadresser på internet.

Jag är tyvärr inte så haj på det här med nätverk så detta låter som värsta mongoliska för mig?

Men!!!

Hur gör jag för att skydda mig från uteliggandenätverk(internet) men ändå ha ett eget litet privat nätverk...

  • Oregistrerad
  • 2005-01-08 23:37

NAT sätter ju "adressöversättning" port för port…
Men ett trådlöst nät blir ju inte säkert med NAT, speciellt inte om burken som NAT:ar är satt som lokal DHCP-server…
Det är ju bara att be om ett IP

Däremot borde det i manualen stå hur man låser anslutningen till vissa specifika MAC-adresser (nätverkskort) och hur man sätter upp så att passord krävs när man skall få IP-adress från DHCP-servern (samt hur man krypterar trafiken om man vill det…)

Ursprungligen av Pär:

NAT sätter ju "adressöversättning" port för port…
Men ett trådlöst nät blir ju inte säkert med NAT, speciellt inte om burken som NAT:ar är satt som lokal DHCP-server…
Det är ju bara att be om ett IP

Däremot borde det i manualen stå hur man låser anslutningen till vissa specifika MAC-adresser (nätverkskort) och hur man sätter upp så att passord krävs när man skall få IP-adress från DHCP-servern (samt hur man krypterar trafiken om man vill det…)

Detta förstår jag mig på och är redan gjort! Har både WPA-PSK samt Mac låsning men både min bärbara och min stationära är kopplade till samma router så jag tänkte att man kanske kunde höja säkerhetsnivån ett steg

  • Oregistrerad
  • 2005-01-08 23:52
Ursprungligen av EricBradley:

Detta förstår jag mig på och är redan gjort! Men både för min bärbara och min stationära är kopplade till samma router så jag tänkte att man kanske kunde höja säkerhetsnivån ett steg

Okey, då är interna säkerheten fixad (dvs. på insidan routern men, utanför fönstret ex.v.)

Du har ju brandvägg igång på routern. I denna så sätter du ju upp NAT till resp internt IP för resp port (normalt öppnar den väl för båda på det du slår på). Du öppnar bara de portar du behöver så är väl det så bra man kan göra…
(Man kan säkert ordna så att vissa portar bara är öppna från vissa IP-adresser och sådär, men det är väl överkurs )

Va inte så nojjig
(Själv höll jag på att smälla av när jag upptäckte att jag lika lätt som 1, 2, 3 kunde logga in på min dator från andra sidan stan Fast det är klart, den var ju så inställd…)

NAT är en förkortning, inte ett protokoll, och står för Network Address Translation.
I grung och botten avser man den teknik där en IP-adress i ett IP-paket byts ut.
Det finns olika typer av NAT. Statisk NAT och dynamisk NAT. Sedan finns det en drös med andra varianter som tillverkarna väljer att namnge med Smart NAT osv.
Statisk NAT avser oftast situationer där man byter adress statiskt mellan en extern adress och en intern som sitter på någon typ av server. Det finns ärven PAT, Port Address Translation, där man översätter TCP/UDP-portar. Vanligaste varianten av statisk NAT är dock Network Address and Port Translation (NAPT) där man port för port väljder vilken intern adress som trafiken ska vidarebefodras till. Man byter alltså destinations-IP-adress för inkommande paket, och vice versa för utgående. I vissa fall byter man även destinationsport.

För utgående trafik använder man oftast Dynamisk NAT, där flera (obegränsat?) med interna adresser döljs bakom ett externt IP för utgående trafik. En TCP eller UDP-session utåt har alltid en source- och en destinationsport. Dessa tillsammans med source-IPadressen byts ut (destinationsporten behålls, men sourceporten byts ut). På det sättet kan flera interna datorer och andra IP-enheter (hostar) dela på en publik (för internet synlig) adress.
Denna mappning skapar en del svårigheter för en hacker att skicka illasinnade paket in i nätverket då kan måste träffa rätt både på source och destinations-port resp. adress. Detta ger alltså ett visst skydd när man använder NAT.
Men det är inte "hacker proof" så att säga. En riktigbrandvägg krävs för att förhindra mer målmedvetna attacker. Många produkter på marknaden utger sig för att ha en brandvägg, när det i själva verket bara är deras NAT-implementation som de förlitar sig på.

Kortfattat: NAT (dynamisk sådan vilket är underförstått i denna typ av diskussion) är bra ur säkerhetssynpunkt, men det är inte säkert. Termer såsom Stateful Packet Inspection och Deep Packet Inspection figurerar, och betyder oftast ytterligare lite eller mycket mer. Det förstnämda har ett visst Israeliskt stort brandväggsföretag patent på osv, så termen används ofta försiktigt av konkurrenter. Men de flesta seriösa brandväggstillverkarna använder liknande metoder idag.

1
Bevaka tråden