Pozdravujem! Vitajte pri piatej lekcii kurzu , na Zistili sme, ako fungujú bezpečnostné politiky. Teraz je čas uvoľniť miestnych používateľov na internet. Aby sme to dosiahli, v tejto lekcii sa pozrieme na fungovanie mechanizmu NAT.
Okrem uvoľnenia používateľov na internet sa pozrieme aj na spôsob zverejňovania interných služieb. Pod zostrihom je stručná teória z videa, ako aj samotná video lekcia.
Technológia NAT (Network Address Translation) je mechanizmus na konverziu IP adries sieťových paketov. Z hľadiska Fortinetu sa NAT delí na dva typy: Source NAT a Destination NAT.
Názvy hovoria samy za seba – pri použití Source NAT sa mení zdrojová adresa, pri použití Destination NAT sa mení cieľová adresa.
Okrem toho existuje aj niekoľko možností nastavenia NAT – Firewall Policy NAT a Central NAT.
Pri použití prvej možnosti musia byť pre každú bezpečnostnú politiku nakonfigurované zdrojové a cieľové NAT. V tomto prípade Source NAT používa buď IP adresu odchádzajúceho rozhrania, alebo vopred nakonfigurovaný IP Pool. Cieľový NAT používa ako cieľovú adresu vopred nakonfigurovaný objekt (tzv. VIP - Virtual IP).
Pri použití Central NAT sa konfigurácia zdrojového a cieľového NAT vykoná pre celé zariadenie (alebo virtuálnu doménu) naraz. V tomto prípade sa nastavenia NAT vzťahujú na všetky politiky, v závislosti od pravidiel Source NAT a Destination NAT.
Pravidlá zdrojového NAT sú nakonfigurované v centrálnej politike zdrojového NAT. Cieľový NAT sa konfiguruje z ponuky DNAT pomocou adries IP.
V tejto lekcii budeme brať do úvahy iba Firewall Policy NAT - ako ukazuje prax, táto možnosť konfigurácie je oveľa bežnejšia ako Central NAT.
Ako som už povedal, pri konfigurácii Firewall Policy Source NAT existujú dve možnosti konfigurácie: nahradenie IP adresy adresou odchádzajúceho rozhrania alebo IP adresou z predkonfigurovaného fondu IP adries. Vyzerá to podobne ako na obrázku nižšie. Ďalej stručne poviem o možných fondoch, ale v praxi budeme zvažovať iba možnosť s adresou odchádzajúceho rozhrania - v našom rozložení fondy IP adries nepotrebujeme.
Oblasť IP definuje jednu alebo viac adries IP, ktoré sa použijú ako zdrojová adresa počas relácie. Tieto IP adresy budú použité namiesto IP adresy odchádzajúceho rozhrania FortiGate.
Na FortiGate je možné nakonfigurovať 4 typy IP poolov:
- preťaženie
- Jeden na jedného
- Pevný rozsah portov
- Pridelenie bloku portov
Preťaženie je hlavnou oblasťou IP. Konvertuje IP adresy pomocou schémy many-to-one alebo many-to-many. Používa sa aj preklad portov. Zvážte obvod znázornený na obrázku nižšie. Máme balík s definovanými poliami Zdroj a Cieľ. Ak spadá pod politiku brány firewall, ktorá umožňuje tomuto paketu prístup do externej siete, použije sa naň pravidlo NAT. Výsledkom je, že v tomto pakete je pole Zdroj nahradené jednou z adries IP špecifikovaných v oblasti IP.
Pool One to One definuje aj mnoho externých IP adries. Keď paket spadá pod politiku brány firewall s povoleným pravidlom NAT, adresa IP v poli Zdroj sa zmení na jednu z adries patriacich do tejto oblasti. Výmena sa riadi pravidlom „prvý dovnútra, prvý von“. Aby to bolo jasnejšie, pozrime sa na príklad.
Počítač v lokálnej sieti s IP adresou 192.168.1.25 odošle paket do externej siete. Spadá pod pravidlo NAT a pole Zdroj sa zmení na prvú IP adresu z fondu, v našom prípade je to 83.235.123.5. Stojí za zmienku, že pri použití tohto fondu IP sa nepoužíva preklad portov. Ak potom počítač z tej istej lokálnej siete, s adresou napríklad 192.168.1.35, odošle paket do externej siete a tiež spadá pod toto pravidlo NAT, IP adresa v poli Zdroj tohto paketu sa zmení na 83.235.123.6. Ak v oblasti nezostanú žiadne ďalšie adresy, následné pripojenia budú odmietnuté. To znamená, že v tomto prípade môžu pod naše pravidlo NAT spadať 4 počítače súčasne.
Pevný rozsah portov spája interné a externé rozsahy IP adries. Preklad portov je tiež zakázaný. To vám umožňuje natrvalo priradiť začiatok alebo koniec oblasti interných adries IP k začiatku alebo koncu oblasti externých adries IP. V nižšie uvedenom príklade je interná oblasť adries 192.168.1.25 - 192.168.1.28 namapovaná na externú oblasť adries 83.235.123.5 - 83.235.125.8.
Pridelenie bloku portov – tento fond IP sa používa na pridelenie bloku portov pre používateľov fondu IP. Okrem samotného IP poolu tu treba zadať aj dva parametre – veľkosť bloku a počet blokov pridelených pre každého používateľa.
Teraz sa pozrime na technológiu Destination NAT. Je založený na virtuálnych IP adresách (VIP). Pre pakety, ktoré spadajú pod pravidlá Destination NAT, sa IP adresa v poli Destination zmení: zvyčajne sa verejná internetová adresa zmení na súkromnú adresu servera. Virtuálne adresy IP sa používajú v politikách brány firewall ako pole Cieľ.
Štandardným typom virtuálnych IP adries je Static NAT. Ide o individuálnu korešpondenciu medzi externými a internými adresami.
Namiesto statického NAT môžu byť virtuálne adresy obmedzené presmerovaním konkrétnych portov. Napríklad priraďte pripojenia k externej adrese na porte 8080 k pripojeniu k internej adrese IP na porte 80.
V nižšie uvedenom príklade sa počítač s adresou 172.17.10.25 pokúša získať prístup k adrese 83.235.123.20 na porte 80. Toto pripojenie spadá pod pravidlo DNAT, takže cieľová IP adresa sa zmení na 10.10.10.10.
Video rozoberá teóriu a poskytuje aj praktické príklady konfigurácie Source a Destination NAT.
V ďalších lekciách prejdeme k zaisteniu bezpečnosti používateľov na internete. Konkrétne sa v ďalšej lekcii bude diskutovať o funkcionalite filtrovania webu a ovládaní aplikácií. Aby ste to nezmeškali, sledujte aktualizácie na nasledujúcich kanáloch:
Zdroj: hab.com