Em redes de provedores de serviços, o maior uso da tradução de endereços de rede (NAT) tende a ser no ponto de extremidade da Internet do assinante, mas infelizmente esse ponto também é a maior superfície de ataque, carregando as maiores ameaças, dentro da rede do provedor de serviços. Em redes móveis, essa pegada é chamada por vários termos, incluindo Gi LAN, SGi LAN e mobile edge. Em termos mais gerais, é o local onde a conectividade pura com a Internet encontra um gateway que gerencia uma tecnologia de acesso específica (como sem fio, cabo ou fibra). Os gateways são excelentes para gerenciar a conectividade dos assinantes em uma rede de acesso específica, mas não são adequados para aplicar controles de segurança ou tradução de endereços devido à funcionalidade de segurança limitada ou ao custo excessivo.
No passado, os provedores de serviços trabalharam sob a suposição equivocada de que o NAT pode fornecer tanto tradução de endereços quanto segurança na borda da Internet do assinante. A comunidade de segurança tentou dissipar esse mito, mas ele persiste, e os provedores de serviços móveis e fixos no ambiente atual de ataques crescentes precisam entender por que o NAT é insuficiente. Esse entendimento começa com o reconhecimento de que há muitos tipos diferentes de serviços de segurança no ponto de agregação de assinantes, além da negação de tráfego de entrada.
Uma solução arquitetônica comum consiste em um sistema com estado entre o gateway e a Internet que pode fornecer vários serviços aos assinantes e à rede. Os tipos comuns de serviços de segurança incluem:
Esses cinco exemplos de controles de segurança não são exaustivos, mas representam um conjunto básico de funcionalidades necessárias em redes modernas no ponto de agregação de assinantes. Com isso em mente, as soluções NAT não fornecem funcionalidade suficiente para proteger e proteger redes modernas. (Observe que se uma empresa oferece uma solução NAT de nível de operadora (CGNAT) que executa qualquer uma das funções acima, é uma admissão de que o NAT sozinho é insuficiente para proteger o produto mais valioso de um provedor de serviços: a capacidade de conectar pessoas e coisas.) A solução adequada para proteger a borda da Internet do assinante por meio de serviços como os acima não é o NAT, mas um firewall de rede de classe de operadora, como o F5® BIG-IP® Advanced Firewall Manager™ (AFM).
Tendo estabelecido que há muitas outras ameaças de segurança contra as quais o NAT não pode fazer nada para proteger, vamos dissipar os mitos técnicos e comerciais de usar o NAT como um serviço de segurança, mesmo para negação mínima de tráfego não solicitado.
Embora criado para facilitar a comunicação entre hosts em espaços de endereços privados sobrepostos, o NAT tem sido amplamente implantado com o objetivo principal de fornecer conectividade a mais hosts em uma rede do que endereços IP individuais estão disponíveis. Problemas de segurança associados ao NAT já foram documentados há muito tempo. (Consulte as seções Considerações de segurança do RFC2663 e RFC2993 da Internet Engineering Task Force (IETF). Essas preocupações foram um grande motivador para a criação do IPv6. Agora que o mundo está migrando para o IPv6 há algum tempo, o NAT não será mais necessário para hosts que usam IPv6. Portanto, não será possível fornecer qualquer proteção aos hosts IPv6.
Pode-se argumentar que um gateway NAT46 ou NAT64 com estado pode fornecer alguma segurança. No entanto, essa segurança seria apenas parcial e de curta duração. O CGNAT foi projetado principalmente para traduzir o tráfego entre hosts quando um lado não foi convertido para IPv6, o que significa que o objetivo final é remover o dispositivo CGNAT e permitir o tráfego IPv6 nativo sem tradução. Sem um firewall de rede de classe de operadora, o dispositivo NAT se torna o obstáculo para a migração completa do IPv6 para a operadora.
Além disso, muitas redes de provedores de serviços agora estão fornecendo configurações de pilha dupla IPv4/IPv6. Nesse caso, mesmo que o provedor de serviços tenha o NAT44 habilitado, a interface IPv6 não tem, o que significa que a organização decidiu que o NAT é suficiente para segurança nas interfaces IPv4, mas o mesmo host permanece completamente aberto na interface IPv6, o que é logicamente incongruente. Por que um arquiteto de rede acreditaria que a proteção é necessária no IPv4 e não no IPv6 quando as mesmas ameaças se aplicam a ambos?
Firewalls de rede de classe de operadora devem ser posicionados como soluções hoje, pois as operadoras não aceitarão a falta de segurança como obstáculo à conversão para IPv6. A implantação de um produto pontual CGNAT hoje forçará a operadora no futuro a recomprar equipamentos e software, bem como a reprojetar a rede, o que levará a custos muito mais altos, pois a mudança na rede de um provedor de serviços é um processo difícil. Por outro lado, implementar a funcionalidade CGNAT em um firewall de rede de classe de operadora garantirá uma transição suave para o IPv6 em termos de paridade de recursos de segurança e capacidade.
O NAT sem estado em geral é um caso de uso raro, mas pode ser empregado em algumas situações únicas. Dispositivos sem estado permitem todo o tráfego, independentemente da solicitação do dispositivo assinante, para portas permitidas para NAT reverso. Como não têm estado, eles não sabem qual tráfego foi enviado pelo host que exigiu NAT; portanto, eles devem permitir todo o tráfego de retorno. Deve ficar claro que o NAT sem estado pode não ser adequado nem mesmo para a maioria dos casos de uso de NAT e é completamente inadequado para quaisquer casos de uso de segurança.
O NAT IPv4 de saída com estado oferece à operadora a capacidade de proteger parcialmente hosts internos do tráfego iniciado externamente na maioria dos casos. No entanto, ele não fornece proteção para hosts internos, nem permite a possibilidade de resposta a ataques desses hosts internos a outros recursos de rede conectados ao dispositivo NAT. Em um grande número de casos, muitos hosts internos que serão comprometidos podem acessar a Internet para comando e controle de botnets. Em alguns casos raros, mas muito graves, esses hosts comprometidos são usados como plataformas de lançamento para ataques avançados à rede interna do provedor de serviços ou ataques direcionados externamente a alvos corporativos ou governamentais de alto escalão que atrairão publicidade indesejada. Os custos associados à limpeza após esses tipos de incidentes superam em muito o custo da solução.
O tráfego IPv4 de entrada com estado é o único tipo de tráfego em que qualquer um poderia argumentar razoavelmente que a proteção de segurança é fornecida pelo NAT, e somente sob certas condições. Este é um mito que persiste, mas, como as explicações acima deixam claro, o tráfego IPv4 é apenas uma fração da superfície de ataque apresentada pelos hosts em rede. Além disso, o NAT com estado não fornece muita proteção nem mesmo para entrada IPv4, já que as técnicas de ataque modernas pressupõem que haverá um dispositivo NAT no caminho, que deve ser subvertido. A tradução estática e de destino de hosts não oferece segurança.
Parte da suposta segurança do NAT depende de ofuscação, o que não é considerado pela comunidade de segurança como uma solução real. A ofuscação apenas torna mais difícil encontrar informações que podem ser obtidas de outras maneiras, portanto não impede nada. O outro componente do mito da segurança do NAT de entrada com estado é que ele é pensado para fornecer uma “via de mão única” — no entanto, isso não acontece na realidade. Embora seja verdade que o NAT IPv4 de entrada com estado rejeitará o tráfego TCP iniciado externamente, isso não significa que um host externo não possa, em determinadas situações, enviar tráfego para hosts internos ou usar outros métodos para contornar o NAT. Na verdade, a maioria dos ataques baseados em rede pressupõe isso como um requisito do comprometimento.
Há várias maneiras de contornar isso, e todas elas podem ser evitadas por um firewall. Primeiro, um invasor pode usar um ataque direcionado ou de varredura para enviar tráfego para portas que estão abertas na tabela de estados do dispositivo NAT. O objetivo desse ataque pode ser criar uma negação de serviço (DoS) invalidando uma sessão existente no host ou na tabela de estados NAT, rastrear uma rede interna ou injetar uma carga de malware na sessão existente de terceiros em um esforço para comprometer o host interno. Implicações sérias são vistas no tráfego UDP que é, por definição, sem estado; no entanto, o mesmo pode ser feito (dada a suscetibilidade do host) no TCP ou em outros protocolos. Além disso, o NAT pode não fornecer conformidade de protocolo, verificação de número de sequência ou quaisquer outras medidas de segurança DoS de camada 2 ou camada 3 que firewalls ou dispositivos de segurança avançados fornecem inerentemente. O NAT também não fornece ferramentas para responder caso ocorram violações de segurança.
Os argumentos comerciais para posicionar um firewall de rede de classe de operadora são simples: Primeiro, nenhum provedor de serviços pode arcar com os atuais comprometimentos de segurança prejudiciais e, às vezes, de alto perfil. É por isso que os serviços de firewall e tradução de endereços de rede frequentemente vêm juntos. O dano monetário que pode ocorrer em uma rede móvel moderna pode facilmente ultrapassar milhões de dólares, com alguns ataques potencialmente prejudicando marcas inteiras.
Em segundo lugar, no caso em que apenas um dispositivo NAT está presente, o provedor de serviços não tem ferramentas para responder ao ataque e deve suportá-lo impotente até que soluções ad-hoc sejam encontradas.
Por fim, provedores de serviços experientes que usam um dispositivo de firewall avançado podem adicionar serviços de segurança adicionais às suas ofertas aos clientes. Tradicionalmente, essas adições atraem clientes empresariais que têm um caso claro para proteger seus ativos comerciais. Sem um dispositivo de firewall com esses recursos, um provedor de serviços nunca terá a oportunidade de obter essa receita. Na verdade, ao não apresentar uma solução combinada de NAT e firewall com recursos de segurança avançados, o provedor de serviços permite que seus clientes presumam que há uma lacuna na linha de produtos ou na experiência do provedor de serviços.
O mito de que o NAT fornece alguma segurança significativa diante dos ataques sofisticados de hoje precisa ser posto de lado. De fato, do ponto de vista técnico, o NAT fornece:
Em termos comerciais, negligenciar a implantação de um firewall de rede de classe de operadora, como o BIG-IP AFM, como parte de uma solução de segurança e NAT de ponta, traz riscos de vazamento de receita grave e pernicioso, além de demonstrar falta de inovação por parte do provedor de serviços.
Por outro lado, os provedores de serviços que implantam um firewall de nível de operadora apropriado e rico em recursos, como os disponíveis na F5, ganham confiança realista na segurança de sua rede, mitigam os riscos financeiros e de reputação associados a ataques e podem aproveitar a oportunidade para oferecer aos seus clientes serviços de segurança de ponta e valor agregado para maiores receitas.