Ressourcen White Papers

Der Mythos der Netzwerkadressübersetzung als Sicherheit

Einführung

In den Netzwerken der Dienstanbieter wird die Netzwerkadressübersetzung (Network Address Translation, NAT) in der Regel am Internet-Edge des Teilnehmers eingesetzt. Leider stellt dieser Punkt innerhalb des Netzwerks der Dienstanbieter jedoch auch die größte Angriffsfläche und die größte Bedrohung dar. In Mobilfunknetzen wird dieser Footprint mit verschiedenen Begriffen bezeichnet, darunter Gi LAN, SGi LAN und Mobile Edge. Allgemeiner ausgedrückt handelt es sich dabei um den Ort, an dem die reine Internetverbindung auf ein Gateway trifft, das eine bestimmte Zugangstechnologie (wie etwa drahtlos, Kabel oder Glasfaser) verwaltet. Gateways eignen sich hervorragend für die Verwaltung der Teilnehmerkonnektivität in einem bestimmten Zugangsnetz, für die Anwendung von Sicherheitskontrollen oder Adressübersetzungen sind sie jedoch aufgrund eingeschränkter Sicherheitsfunktionalität oder übermäßiger Kosten nicht gut geeignet.

In der Vergangenheit gingen Dienstanbieter fälschlicherweise davon aus, dass NAT sowohl Adressübersetzung als auch Sicherheit am Internetrand des Abonnenten bieten könne. Die Sicherheits-Community hat versucht, diesen Mythos zu zerstreuen, doch er hält sich hartnäckig, und Anbieter von Mobil- und Festnetzdiensten müssen im heutigen Umfeld eskalierender Angriffe verstehen, warum NAT nicht ausreicht. Dieses Verständnis beginnt mit der Erkenntnis, dass es neben der Ablehnung eingehenden Datenverkehrs viele unterschiedliche Arten von Sicherheitsdiensten am Punkt der Abonnentenaggregation gibt.

Sicherheit der Abonnentenaggregation

Eine gängige Architekturlösung besteht aus einem zustandsbehafteten System zwischen dem Gateway und dem Internet, das Abonnenten und dem Netzwerk verschiedene Dienste bereitstellen kann. Zu den gängigen Arten von Sicherheitsdiensten gehören:

  • DDoS-Schutz. Die Abwehr von Distributed-Denial-of-Service-Angriffen (DDoS) dient typischerweise zum Schutz vor groß angelegten Angriffen aus dem Internet. Dabei werden Pakete eliminiert, die keinem legitimen Zweck dienen, und Pakete begrenzt, die vom typischen Verhaltensmuster abweichen.
  • Port- und Protokollbegrenzung. Vor über einem Jahrzehnt gewährten Dienstanbieter allen Abonnenten uneingeschränkten Zugriff. Dies erleichterte zwar die Konnektivität für viele Anwendungen, stellte jedoch auch eine ideale Umgebung für die Verbreitung von Viren und Würmern dar, die die Netzwerkressourcen übermäßig beanspruchten. Heutzutage verhindern die meisten Dienstanbieter in ihren Netzwerken bestimmte Protokolle oder beschränken die Verwendung anderer Protokolle, um das Risiko einer Verbreitung von Schadsoftware zu verringern.
  • Schutz der Infrastruktur. Das Schöne an der IP-Konnektivität ist, dass sie es jedem mit einer IP-Adresse ermöglicht, potenziell mit jeder anderen IP-Adresse auf dem Planeten zu kommunizieren. Allerdings besteht hierdurch auch die Möglichkeit, dass sich Abonnenten ohne legitimen Grund mit Systemen im Netzwerk des Dienstanbieters verbinden. Die Implementierung von Kontrollen zum Schutz der Infrastruktur am Abonnentenaggregationspunkt ist äußerst wichtig.
  • Botnet-Minderung. Zu jedem Zeitpunkt sind die Systeme vieler Abonnenten mit Viren und Malware infiziert, die mit Befehls- und Kontrollsystemen (C&C) irgendwo im Internet kommunizieren. Durch die Einschränkung dieser Kommunikation ergeben sich sowohl für den Teilnehmer als auch für das Netzwerk Vorteile, da die Nutzung von Teilnehmergeräten bei Botnet-Angriffen reduziert wird.
  • Arten der Servicedurchsetzung. Viele Dienstanbieter verfügen über unterschiedliche Serviceangebote, die den Abonnenten unterschiedliche Verbindungsarten ermöglichen. Unternehmenskunden benötigen beispielsweise möglicherweise statische IP-Adressen mit unbegrenzter Protokollnutzung und der Möglichkeit, Server zu hosten. Ein niedrigerer Verbraucherservice kann jedoch den Betrieb von Servern auf Mobilgeräten einschränken. Oder vielleicht könnte ein spezieller Typ von IP-Adressklasse für die administrative Konnektivität verwendet werden, um Firmware und Software auf dem CPE zu aktualisieren. Wenn Mobilfunkanbieter Voice over LTE (VoLTE) einsetzen, verwenden sie einen dedizierten APN, der über eine eingeschränkte Konnektivität verfügen muss – andernfalls steigt das Risiko von Umsatzeinbußen erheblich.

Diese fünf Beispiele für Sicherheitskontrollen sind nicht erschöpfend, sie stellen jedoch einen grundlegenden Funktionsumfang dar, der in modernen Netzwerken am Teilnehmeraggregationspunkt erforderlich ist. Vor diesem Hintergrund bieten NAT-Lösungen nicht genügend Funktionalität, um moderne Netzwerke zu sichern und zu schützen. (Beachten Sie: Wenn ein Unternehmen eine Carrier-Grade-NAT-Lösung (CGNAT) anbietet, die eine der oben genannten Funktionen erfüllt, ist dies ein Eingeständnis, dass NAT allein nicht ausreicht, um das wertvollste Produkt eines Dienstanbieters zu schützen – die Fähigkeit, Menschen und Dinge zu verbinden.) Die richtige Lösung zum Sichern des Internet-Edges des Abonnenten durch Dienste wie die oben genannten ist nicht NAT, sondern eine Netzwerk-Firewall der Carrier-Klasse wie F5® BIG-IP® Advanced Firewall Manager™ (AFM).

Technische Argumente

Nachdem wir nun festgestellt haben, dass es viele weitere Sicherheitsbedrohungen gibt, vor denen NAT keinen Schutz bietet, wollen wir nun die technischen und geschäftlichen Mythen über die Verwendung von NAT als Sicherheitsdienst zerstreuen, selbst für die minimale Blockierung unerwünschten Datenverkehrs.

Zustandsbehafteter und zustandsloser Ein- und Ausgang: IPv6

NAT wurde zwar entwickelt, um die Kommunikation zwischen Hosts in überlappenden privaten Adressräumen zu erleichtern, wird aber in großem Umfang eingesetzt, vor allem um die Konnektivität für mehr Hosts in einem Netzwerk zu ermöglichen, als einzelne IP-Adressen zur Verfügung stehen. Mit NAT verbundene Sicherheitsprobleme sind seit langem dokumentiert. (Siehe die Abschnitte zu Sicherheitsüberlegungen in RFC2663 und RFC2993 der Internet Engineering Task Force (IETF).) Diese Bedenken waren ein wesentlicher Treiber für die Entwicklung von IPv6. Da weltweit bereits seit einiger Zeit auf IPv6 umgestiegen ist, wird NAT für Hosts, die IPv6 verwenden, nicht mehr benötigt. Aus diesem Grund ist es nicht möglich, IPv6-Hosts Schutz zu bieten.

Man könnte argumentieren, dass ein zustandsbehaftetes NAT46- oder NAT64-Gateway eine gewisse Sicherheit bieten könnte. Diese Sicherheit wäre jedoch nur teilweise und von kurzer Dauer. CGNAT ist hauptsächlich dafür konzipiert, Datenverkehr zwischen Hosts zu übersetzen, wenn eine Seite nicht auf IPv6 konvertiert hat. Das ultimative Ziel besteht also darin, das CGNAT-Gerät zu entfernen und nativen IPv6-Datenverkehr ohne Übersetzung zuzulassen. Ohne eine Netzwerk-Firewall der Carrier-Klasse wird das NAT-Gerät für den Betreiber zum Hindernis bei der vollständigen Migration auf IPv6.

Darüber hinaus bieten viele Dienstanbieternetzwerke jetzt IPv4/IPv6-Dual-Stack-Konfigurationen an. In diesem Fall ist NAT44 zwar beim Dienstanbieter aktiviert, die IPv6-Schnittstelle jedoch nicht. Das bedeutet, dass die Organisation entschieden hat, dass NAT für die Sicherheit der IPv4-Schnittstellen ausreicht, derselbe Host jedoch auf der IPv6-Schnittstelle vollständig geöffnet bleibt – was logisch inkongruent ist. Warum sollte ein Netzwerkarchitekt glauben, dass Schutz nur bei IPv4 erforderlich ist, aber nicht bei IPv6, wenn für beide genau dieselben Bedrohungen gelten?

Netzwerk-Firewalls der Carrier-Klasse müssen heute als Lösung positioniert werden, da die Betreiber mangelnde Sicherheit nicht als Hindernis für die Umstellung auf IPv6 akzeptieren werden. Die heutige Einführung eines CGNAT-Punktprodukts zwingt den Betreiber in Zukunft dazu, Geräte und Software neu zu kaufen und das Netzwerk neu zu gestalten. Dies führt zu deutlich höheren Kosten, da Änderungen im Netzwerk eines Dienstanbieters ein schwieriger Prozess sind. Im Gegensatz dazu gewährleistet die Implementierung der CGNAT-Funktionalität auf einer Netzwerk-Firewall der Carrier-Klasse einen reibungslosen Übergang zu IPv6 im Hinblick auf die Parität der Sicherheitsfunktionen und die Kapazität.

Ein CGNAT-Punktprodukt kann für begrenzte Sicherheit bei IPv4-Hosts sorgen, lässt IPv6-Hosts jedoch völlig ungeschützt.
Abbildung 1: Ein CGNAT-Punktprodukt kann möglicherweise eine begrenzte Sicherheit für IPv4-Hosts bieten, lässt IPv6-Hosts jedoch völlig ungeschützt.
Zustandsloser Ein- und Ausgang: IPv4

Stateless NAT ist im Allgemeinen ein seltener Anwendungsfall, kann aber in einigen besonderen Situationen eingesetzt werden. Zustandslose Geräte lassen den gesamten Datenverkehr, unabhängig von der Anforderung des Teilnehmergeräts, zu Ports zu, die für Reverse-NAT zugelassen sind. Da sie zustandslos sind, wissen sie nicht, welcher Datenverkehr vom Host gesendet wurde, der NAT erforderte; daher müssen sie den gesamten Rückverkehr zulassen. Es sollte offensichtlich sein, dass Stateless NAT möglicherweise nicht einmal für die meisten NAT-Anwendungsfälle geeignet ist und für Sicherheitsanwendungsfälle völlig ungeeignet ist.

Eine Stateless-NAT-Lösung, die den gesamten Rückverkehr zulassen muss, ist für die Sicherheit völlig ungeeignet
Abbildung 2: Eine Stateless-NAT-Lösung, die den gesamten Rückverkehr zulassen muss, ist für die Gewährleistung der Sicherheit völlig ungeeignet.
Zustandsbehafteter Ausgang: IPv4

Stateful Egress IPv4 NAT gibt einem Betreiber in den meisten Fällen die Möglichkeit, interne Hosts teilweise vor extern initiiertem Datenverkehr zu schützen. Es bietet jedoch keinen Schutz für interne Hosts und ermöglicht auch keine Reaktion auf Angriffe dieser internen Hosts auf andere Netzwerkressourcen, die mit dem NAT-Gerät verbunden sind. In vielen Fällen greifen viele kompromittierte interne Hosts auf das Internet zu, um die Befehls- und Kontrollfunktion des Botnetzes zu übernehmen. In einigen seltenen, aber äußerst schwerwiegenden Fällen werden diese kompromittierten Hosts als Startrampe für fortgeschrittene Angriffe auf das interne Netzwerk des Dienstanbieters oder für von außen gerichtete Angriffe auf übergeordnete Unternehmens- oder Regierungsziele verwendet, die unerwünschte Publizität erzeugen. Die mit der Beseitigung der Schäden nach solchen Vorfällen verbundenen Kosten übersteigen die Kosten für die Lösung bei weitem.

Stateful NAT bietet keinen Schutz für willige oder unwillige interne Hosts und kann von Botnetzen für Angriffe auf das Netzwerk oder externe Ziele verwendet werden.
Abbildung 3: Stateful NAT bietet keinen Schutz für willige oder unwillige interne Hosts und kann von Botnetzen für Angriffe auf das Netzwerk oder externe Ziele verwendet werden.
Zustandsbehafteter Ingress: IPv4

Stateful Ingress IPv4-Datenverkehr ist der einzige Datenverkehrstyp, bei dem man vernünftigerweise argumentieren kann, dass der Sicherheitsschutz durch NAT gewährleistet wird, und auch das nur unter bestimmten Bedingungen. Dies ist ein Mythos, der sich hartnäckig hält, doch wie die obigen Erläuterungen deutlich machen, stellt der IPv4-Verkehr nur einen Bruchteil der Angriffsfläche dar, die vernetzte Hosts bieten. Darüber hinaus bietet Stateful NAT selbst für eingehende IPv4-Daten keinen großen Schutz, da bei modernen Angriffstechniken davon ausgegangen wird, dass sich im Pfad ein NAT-Gerät befindet, das unterwandert werden muss. Die statische und Zielübersetzung von Hosts bietet keine Sicherheit.

Ein Teil der angeblichen Sicherheit von NAT beruht auf Verschleierung, die von der Sicherheits-Community jedoch nicht als echte Lösung angesehen wird. Durch die Verschleierung wird es nur schwieriger, an Informationen zu gelangen, die auch auf andere Weise erlangt werden können, sie verhindert also nichts. Der andere Bestandteil des Sicherheitsmythos von Stateful Ingress NAT besteht darin, dass man glaubt, es handele sich um eine „Einbahnstraße“, was aber in Wirklichkeit nicht der Fall ist. Obwohl es stimmt, dass Stateful Ingress IPv4 NAT extern initiierten TCP-Verkehr ablehnt, bedeutet das nicht, dass ein externer Host in bestimmten Situationen keinen Verkehr an interne Hosts senden oder andere Methoden verwenden kann, um das NAT zu umgehen. Tatsächlich wird dies bei den meisten netzwerkbasierten Angriffen als Voraussetzung für den Angriff angenommen.

Es gibt mehrere Möglichkeiten, dies zu umgehen, und alle können durch eine Firewall verhindert werden. Erstens kann ein Angreifer entweder einen gezielten oder einen Sweep-Angriff verwenden, um Datenverkehr an Ports zu senden, die in der Statustabelle des NAT-Geräts geöffnet sind. Der Zweck dieses Angriffs könnte darin bestehen, einen Denial-of-Service-Angriff (DoS) herbeizuführen, indem eine bestehende Sitzung auf dem Host oder in der NAT-Statustabelle ungültig gemacht wird, ein internes Netzwerk zu manipulieren oder eine Schadsoftware-Nutzlast in die bestehende Sitzung eines Dritten einzuschleusen, um den internen Host zu kompromittieren. Bei UDP-Verkehr, der per Konzept zustandslos ist, sind schwerwiegende Auswirkungen zu erwarten. Dasselbe könnte jedoch (bei entsprechender Anfälligkeit des Hosts) auch mit TCP oder anderen Protokollen erreicht werden. Darüber hinaus bietet NAT möglicherweise keine Protokollkonformität, keine Sequenznummernprüfung oder andere DoS-Sicherheitsmaßnahmen der Schicht 2 oder 3, die Firewalls oder erweiterte Sicherheitsgeräte von Haus aus bieten. NAT stellt außerdem keine Tools bereit, um auf Sicherheitsverstöße zu reagieren.

Selbst bei IPv4-Hosts können moderne Angriffe häufig ein NAT-Gerät im Pfad kompromittieren
Abbildung 4: Sogar bei IPv4-Hosts können moderne Angriffe häufig ein NAT-Gerät im Pfad kompromittieren.
Geschäftsargumente

Die geschäftlichen Argumente für die Positionierung einer Netzwerk-Firewall der Carrier-Klasse sind einfach: Erstens kann sich kein Dienstanbieter die schädlichen und manchmal schwerwiegenden Sicherheitskompromisse von heute leisten. Aus diesem Grund werden Firewall- und Netzwerkadressübersetzungsdienste häufig zusammen gebündelt. Der finanzielle Schaden, der in einem modernen Mobilfunknetz entstehen kann, kann leicht mehrere Millionen Dollar übersteigen, und einige Angriffe können möglicherweise ganze Marken lahmlegen.

Zweitens: Wenn nur ein NAT-Gerät vorhanden ist, hat der Dienstanbieter keine Tools, um auf den Angriff zu reagieren, und muss ihn hilflos ertragen, bis Ad-hoc-Lösungen gefunden werden.

Und schließlich können versierte Dienstanbieter durch den Einsatz einer modernen Firewall ihr Kundenangebot um zusätzliche Sicherheitsdienste erweitern. Traditionell sind derartige Ergänzungen für Unternehmenskunden attraktiv, die klare Gründe für den Schutz ihrer Geschäftswerte haben. Ohne eine Firewall mit diesen Funktionen wird ein Dienstanbieter nie die Möglichkeit haben, derartige Umsätze zu erzielen. Indem der Dienstanbieter keine kombinierte NAT- und Firewall-Lösung mit erweiterten Sicherheitsfunktionen anbietet, lässt er seine Kunden tatsächlich davon ausgehen, dass in seiner Produktpalette oder seinem Fachwissen eine Lücke besteht.

Abschluss

Der Mythos, dass NAT angesichts der heutigen hochentwickelten Angriffe irgendeine nennenswerte Sicherheit bietet, muss widerlegt werden. Aus technischer Sicht bietet NAT tatsächlich:

  • Keine Sicherheit für IPv6-Hosts, da NAT für sie nicht erforderlich ist.
  • Keine Sicherheit für zustandslose NAT-Hosts.
  • Keine Sicherheit für ausgehende Angriffe auf Stateful-NAT-Hosts.
  • Minimaler Schutz vor Stateful-NAT-Host-Ingress-Angriffen, da moderne Angriffe die Anwesenheit eines NAT-Geräts voraussetzen und diese Geräte leicht kompromittieren oder umgehen.
  • Keine Tools zum Reagieren auf routinemäßig auftretende Sicherheitsangriffe.

Aus geschäftlicher Sicht birgt das Versäumnis, eine Netzwerk-Firewall der Carrier-Klasse wie BIG-IP AFM als Teil einer Edge-NAT- und Sicherheitslösung einzusetzen, sowohl schwerwiegende als auch schädliche Umsatzeinbußen als auch einen Mangel an Innovation seitens eines Dienstanbieters.

Im Gegensatz dazu gewinnen Dienstanbieter, die eine geeignete und funktionsreiche Carrier-Grade-Firewall wie die von F5 einsetzen, realistisches Vertrauen in die Sicherheit ihres Netzwerks, mindern die mit Angriffen verbundenen finanziellen und rufschädigenden Risiken und können die Gelegenheit nutzen, ihren Kunden hochmoderne Sicherheitsdienste mit Mehrwert anzubieten und so ihren Umsatz zu steigern.

Veröffentlicht am 10. Februar 2016
  • Auf Facebook teilen
  • Teilen mit X
  • Auf Linkedin teilen
  • Teilen per E-Mail
  • Teilen über AddThis

Verbinden mit F5

F5 Labs

Die neuesten Erkenntnisse im Bereich Anwendungsbedrohungsinformationen.

Zu F5 Labs

DevCentral

Die F5-Community für Diskussionsforen und Expertenartikel.

Zu DevCentral

F5-Newsroom

Neuigkeiten, F5-Blogs und mehr.

Zum Newsroom