Dlaczego więcej organizacji nie korzysta z wewnętrznych NAT lub podobnych rozwiązań, aby umożliwić spinki do włosów NAT?

22

NAT od wewnątrz do wewnątrz, czyli sprzężenie zwrotne NAT, rozwiązuje problemy z NAT szpilki do włosów podczas uzyskiwania dostępu do serwera WWW na zewnętrznym interfejsie ASA lub podobnego urządzenia z komputerów na interfejsie wewnętrznym. Zapobiega to utrzymywaniu przez administratorów DNS zduplikowanej wewnętrznej strefy DNS, która ma odpowiednie adresy RFC1918 dla swoich serwerów, które są translowane NAT na adresy publiczne. Nie jestem inżynierem sieci, więc mogę coś przeoczyć, ale wydaje się, że konfiguracja i implementacja jest prosta. Asymetryczny routing może stanowić problem, ale można go łatwo złagodzić.

Z mojego doświadczenia wynika, że ​​administratorzy / inżynierowie sieci wolą, aby ludzie z systemu po prostu uruchamiali split-dns, zamiast konfigurować swoje zapory ogniowe, aby poprawnie obsługiwały spinki do włosów NAT. Dlaczego to?

MDMarra
źródło
Może dlatego, że widoki DNS są łatwiejsze do rozwiązania?
NickW
2
Być może, ale podczas używania DNS na kontrolerach domeny AD (typowy scenariusz) widoki nie istnieją.
MDMarra
2
Dlaczego miałbyś publikować swoją strefę AD w Internecie? Jeśli Twoja reklama jest ad.example.compodobna (tak jak powinna być!), Problem ten będzie istniał dla wszystkich publicznych example.comwpisów DNS i żadne wewnętrzne dane nie zostaną opublikowane na zewnątrz. Oczywiście, jeśli nazwałeś swoją reklamę taką samą jak swoją publiczną obecnością, musisz użyć split-DNS, ale nie jest to najlepszy projekt AD.
MD Marra
5
Dodam, że widoki DNS są łatwiejsze do rozwiązania, jeśli klienci nigdy się między nimi nie przemieszczają . Dziwnie może się nie udać sytuacja, gdy klienci wyprowadzą na zewnątrz buforowany wynik wewnętrzny.
LapTop006
3
Klienci nie powinni buforować odpowiedzi DNS, po to są serwery DNS . Wiem, że Windows bardzo lubi ciche (i zabójcze) buforowanie, ale to jeden z wielu powodów, dla których uważam, że nie nadaje się do użytku produkcyjnego.
MadHatter obsługuje Monikę

Odpowiedzi:

11

Jest kilka powodów, dla których nie chciałbym tego zrobić:

  • Po co zwiększać obciążenie routerów DMZ i zapory sieciowej, jeśli nie jest to konieczne? Większość naszych usług wewnętrznych nie znajduje się w strefie DMZ, ale w ogólnym obszarze korporacyjnym, a usługi pośrednictwa w strefie DMZ umożliwiają okazjonalny dostęp zdalny. Wykonanie nat od wewnątrz do wewnątrz zwiększa obciążenie strefy DMZ, co w naszym przypadku byłoby znaczące.
  • Jeśli nie wykonasz DNAT + SNAT, dostaniesz routing asymetryczny, co jest bardzo trudne do prawidłowego wykonania. Więc SNAT i tracisz informacje o źródłowym IP. Jednak do celów rozwiązywania problemów przydatne jest łączenie źródłowych adresów IP z ludźmi. Lub czasami celowanie w celi w przypadku głupoty. „Hej, ten adres IP robi coś dziwnego w nieuwierzytelnionej usłudze X” „Och, spójrzmy na dzienniki serwera imap, kto to jest”.
Dennis Kaarsemaker
źródło
2
Tylko uwaga: jeśli twoja zapora ogniowa wykonuje routing L3, a masz trasy dla klientów zewnętrznych i wewnętrznych, którzy korzystają z zapory ogniowej, nie powinieneś się martwić asymetrycznym routingiem, prawda?
MDMarra
12

Oczywiście nie ma na to jednoznacznej odpowiedzi , ale mogłem wymyślić kilka powodów:

  1. Elegancja: NAT nie jest zbyt elegancki na początku, ale jest koniecznością z ograniczoną przestrzenią adresową IPv4. Jeśli mogę uniknąć NAT, zrobię to. W przypadku IPv6 problem w każdym razie zniknie.
  2. Złożoność: szczególnie w przypadku, gdy nie masz tylko jednego „rdzenia” routera tworzącego wszystkie granice bezpieczeństwa, konfiguracje filtrów mogą być dość trudne. Albo to, albo będziesz musiał rozpowszechniać i utrzymywać reguły NAT na prawie wszystkich routerach.
  3. Odwołanie: wszędzie tam, gdzie administratorzy zapory ogniowej są inni niż reszta zespołu administratorów serwera, dostęp do nich może być trudny. Aby mieć pewność, że zmiany nie zostaną opóźnione przez zaległości administratora zapory (lub wakacje), wybrana jest opcja utrzymania odpowiedzialności w tym samym zespole
  4. Przenośność i powszechna praktyka: korzystanie z widoków DNS to „po prostu to, co wszyscy wiedzą, że jest zrobione”, aby rozwiązać ten problem. Nie każdy router brzegowy w prosty sposób obsługiwałby NAT pętli zwrotnej, mniej osób prawdopodobnie będzie wiedziało, jak poprawnie skonfigurować go w określonym środowisku. Podczas rozwiązywania problemów z siecią załoga musi być świadoma konfiguracji NAT spinki do włosów i wszystkich jej implikacji - nawet jeśli ścigają pozornie niezwiązany problem
the-wabbit
źródło
1
1. W tej sytuacji i tak używany jest NAT. Nie oznacza to dodawania NAT tam, gdzie wcześniej nie było NAT. W moim przykładzie wszystkie są obsługiwane przez to samo urządzenie lub klaster urządzeń. 4. Jak stwierdzono w moim komentarzu powyżej, bardzo częstym scenariuszem jest wewnętrzne używanie kontrolerów domeny AD dla DNS. DNS systemu Windows nie obsługuje widoków. Odkryłem również, że większość nieco współczesnych routerów / zapór sieciowych obsługuje przypinanie NAT w taki czy inny sposób.
MDMarra
1
@MDMarra kilka uwag: 1. - „chciałbym mieć o jedną dziwność NAT mniejszą uwagę” - tak naprawdę miałem na myśli, 2. - twoje pytanie nie mówi wprost, ale z jednym routerem oczywiście łatwiej będzie sobie z tym poradzić , 4. z wewnętrznym DNS, który jest obowiązkowy dla wszystkich klientów, nie potrzebujesz widoków - wystarczy stworzyć wewnętrzną strefę i uzyskać taki sam efekt, jak wspomniano w pytaniu, powyższe rozumowanie nadal obowiązuje.
the-wabbit
1
Jaka dziwność NAT? Jakie konkretne zachowanie wprowadziłoby to, które powoduje problemy? Pracowałem na uniwersytecie, który skonfigurował przypinanie NAT w klastrze Netscreen dla ponad 100 zewnętrznych hostów i nigdy nie mieliśmy problemu.
MDMarra
Zauważ też, że użycie NAT w tym scenariuszu sprawia, że ​​wygląda bardziej jak rozwiązanie IPv6, ponieważ pod IPv6 system będzie miał jeden globalnie dostępny adres; spinka do włosów NAT symuluje to zachowanie.
Paul Gear
@MDMarra najbardziej wyróżniającą się „dziwnością NAT” w przypadku NAT „szpilki do włosów” byłaby nieoptymalna ścieżka routingu, co oznacza, że ​​przepisane pakiety musiałyby podróżować przez większość ścieżki, przez którą przeszły. Widzenie tego na zrzucie pakietów, gdy rozwiązywanie problemów z łącznością jest co najwyżej mylące. Sądzę, że inni w swoich odpowiedziach wspominali już o problemie z routingiem asymetrycznym. Nie ma wątpliwości, że możesz sprawić, by działało dobrze. Ale w większości przypadków IMO nie jest warte wysiłku.
the-wabbit
7

Zastrzeżenie - jest to odpowiedź na przynętę płomieniową.

Częstym powodem, dla którego uważam, że takich rozwiązań jest unikany, jest irracjonalny strach / nienawiść do NAT ze strony inżynierów sieciowych . Jeśli chcesz zobaczyć przykłady dyskusji na ten temat, sprawdź te:

Z tego, co mogę powiedzieć, duża część tego strachu wynika z kiepskiej implementacji NAT przez Cisco (więc w tym sensie może to nie być irracjonalne), ale moim zdaniem „klasyczny” inżynier sieci jest tak dobrze wyszkolony w „NAT jest zły światopogląd, że nie widzi oczywistych przykładów takich jak ten, w których ma to sens i faktycznie upraszcza rozwiązanie.

Proszę bardzo - oddaj głos na treść swojego serca! :-)

Paul Gear
źródło
1
Nie wiem, czy uważałbym to za irracjonalny strach. Doświadczenie nauczyło mnie, że NAT może zepsuć lub robić dziwne rzeczy przy wielu rzeczach.
1
@Kce Ale jeśli już używasz NAT na interfejsie zewnętrznym, jaką różnicę ma konfiguracja sprzężenia zwrotnego NAT?
MDMarra
@MDMarra - Żadne naprawdę. Mówiłem raczej pedantycznie, że czasami strach zespołu usług sieciowych przed NAT nie jest irracjonalny.
Nie boję się NAT, nienawidzę tego.
Michael Hampton
1
Edytowany post zawierający nienawiść. :-)
Paul Gear
3

Moim gościem jest:

  1. Podział DNS jest łatwiejszy do zrozumienia.
  2. NAT Hairpin zużywa zasoby na routerze, podczas gdy split-dns nie.
  3. Routery mogą mieć ograniczenia przepustowości, których nie można uzyskać przez konfigurację split-dns.
  4. Split-dns zawsze będzie lepiej działać, ponieważ unikasz routingu / kroków NAT.

Na plus od szpilki do włosów NAT,

  • Po skonfigurowaniu to po prostu działa.
  • Brak problemów z buforami DNS dla laptopów przenoszonych między siecią służbową a publicznym Internetem.
  • DNS dla serwera jest zarządzany tylko w jednym miejscu.

W przypadku małej sieci o niskim wymaganiu ruchu do serwera wewnętrznego wybrałbym spinkę NAT. W przypadku większej sieci z wieloma połączeniami z serwerem, gdzie ważna jest przepustowość i opóźnienia, skorzystaj z split-dns.

Matt
źródło
2

Z mojego punktu widzenia zmieniło się to nieco między przejściem z Cisco Pix na ASA. Zgubiłem aliaspolecenie. I ogólnie dostęp do adresu zewnętrznego z interfejsu wewnętrznego zapory Cisco wymaga pewnego rodzaju oszustwa. Zobacz: Jak mogę uzyskać dostęp do mojego wewnętrznego serwera na zewnętrznym adresie IP?

Jednak nie zawsze musimy utrzymywać zduplikowaną wewnętrzną strefę DNS. Cisco ASA może przekierowywać zapytania DNS dotyczące adresów zewnętrznych na adresy wewnętrzne, jeśli skonfigurowano je w instrukcji NAT. Ale wolę zachować wewnętrzną strefę dla publicznej strefy DNS, aby mieć tę szczegółowość i móc zarządzać nią w jednym miejscu, a nie przejść do zapory.

Zazwyczaj jest tylko kilka serwerów, które mogą wymagać tego w środowisku (poczta, sieć, kilka usług publicznych), więc nie był to ogromny problem.

ewwhite
źródło
Czy to podstęp, jeśli jest obsługiwane i udokumentowane przez Cisco ? Pewnie, że to trochę więcej pracy, ale czy to sprawia, że ​​jest to trudne czy hackerskie?
MDMarra
Oszustwo, w którym ludzie nie wiedzą / nie oczekują / myślą o tym, jeśli jeszcze nie są świadomi. To często zadawane pytanie: Jak uzyskać zewnętrzny adres IP z wnętrza zapory Cisco .
ewwhite
Typically, there are only a few servers that may require this within an environmentmoże w niektórych miejscach, ale pracowałem na uniwersytecie z ponad 100 serwerami / urządzeniami w strefie DMZ, a także pracowałem u dostawcy testów / certyfikacji z ponad 40 serwerami w trzech strefach DMZ. W przypadku mniejszych firm możesz mieć tylko jeden lub dwa serwery wystawione na zewnątrz, ale niekoniecznie dotyczy to wszystkich.
MDMarra
Jeśli serwery znajdują się w strefie DMZ, jest to mniejszy problem, prawda?
ewwhite
W tym przypadku „DMZ” oznacza połączenie z zewnętrzną powierzchnią wspomnianej zapory z domyślnymi regułami odmowy między strefami.
MDMarra
2

Mogę wymyślić kilka powodów:

  1. Wiele organizacji podzieliło DNS już w wyniku tego, że nie chcą publikować wszystkich swoich wewnętrznych informacji DNS na świecie, więc nie jest to dodatkowy wysiłek, aby obsłużyć kilka serwerów, które są również ujawniane za pośrednictwem publicznego adresu IP.
  2. Gdy organizacja i jej sieć stają się coraz większe, często oddzielają systemy obsługujące pracowników wewnętrznych od serwerów obsługujących urządzenia zewnętrzne, więc routing do zewnętrznych w celu użycia wewnętrznego może być znacznie dłuższą ścieżką sieciową.
  3. Im mniej modyfikacji wprowadzają pakiety pośredniczące, tym lepiej, jeśli chodzi o opóźnienia, czas reakcji, obciążenie urządzenia i rozwiązywanie problemów.
  4. (bardzo niewielkie, co prawda) Istnieją protokoły, że NAT nadal będzie działać, jeśli urządzenie NATing nie wykracza poza nagłówki pakietu i nie modyfikuje w nim danych za pomocą nowych adresów IP. Nawet jeśli jest to tylko przypadek pamięci instytucjonalnej, jest to nadal ważny powód, dla którego ludzie powinni go unikać, zwłaszcza jeśli mają do czynienia z protokołem, którego nie są w 100% pewni.
Jed Daniels
źródło
0

Gdybym miał użyć pętli zwrotnej NAT, byłbym trochę zaniepokojony tym, jak urządzenie NAT będzie obsługiwać sfałszowane adresy źródłowe. Jeśli nie sprawdzi, który interfejs przyszedł pakiet, mógłbym sfałszować adresy wewnętrzne z sieci WAN i wysłać pakiety na serwer z adresami wewnętrznymi. Nie mogłem uzyskać odpowiedzi, ale być może uda mi się narazić serwer na atak przy użyciu adresu wewnętrznego.

Skonfigurowałem sprzężenie zwrotne NAT, podłączono do przełącznika DMZ i wysyłałem pakiety z sfałszowanymi wewnętrznymi adresami źródłowymi. Sprawdź dziennik serwera, aby zobaczyć, czy zostały odebrane. Potem poszedłem do kawiarni i sprawdziłem, czy mój dostawca usług internetowych blokuje sfałszowane adresy. Jeśli stwierdzę, że mój router NAT nie sprawdza interfejsu źródłowego, prawdopodobnie nie użyłbym pętli zwrotnej NAT, nawet jeśli mój dostawca usług internetowych sprawdza.

Kent England
źródło
Przepraszam, mogę nie rozumieć, co mówisz, ale adresy RFC1918 nie są kierowane przez Internet, więc nie rozumiem, co zrobi próba sfałszowania ich przez sieć WAN. Nie zrobią nawet pierwszego skoku.
MDMarra,
Adres docelowy to adres publiczny NAT na porcie odwzorowanym na serwer. Adres źródłowy jest jednym z prywatnych adresów IP wewnątrz NAT. Adresy źródłowe nie są używane w routingu i nie są sprawdzane przez każdy router publiczny. Jedyną różnicą w stosunku do prawidłowego zapytania wewnętrznego jest to, że pakiet przychodzi z sieci WAN.
Kent Anglia,