NAT не замена межсетевому экрану на примере Juniper SRX

Вы, наверное, слышали утверждение, что NAT не является системой безопасности. Оно появилось из-за того, что некоторые пользователи NAT считают, что, скрыв внутреннюю адресацию сети, можно добиться ее безопасности. На самом деле это не так и использование NAT не отменяет необходимости настраивать межсетевой экран.

Рассмотрим пример публикации внутреннего веб сервера на Juniper SRX.

Перед тем как перейти к конфигурации следует напомнить, как устройства SRX обрабатывают пакет.

На представленной картинке нас интересует порядок обработки NAT и политик безопасности. Если проследить последовательность, то можно заметить следующий порядок действий:

1. Статический NAT
2. NAT с преобразованием адреса получателя (Destination NAT)
3. Применение политик безопасности
4. Обратный статический NAT
5. NAT с преобразованием адреса отправителя (Source NAT)

Отсюда следует, что при определении политик безопасности, адреса источника и получателя задаются как адреса конечных точек, а не промежуточного звена NAT.

Для примера используем следующую схему:

Конфигурация интерфейсов:

root@jun-srx100-04# show interfaces
fe-0/0/0 {
    description ToInternet;
    unit 0 {
        family inet {
            address 80.80.80.80/24;
        }
    }
}
fe-0/0/2 {
    description ToLan;
    unit 0 {
        family inet {
            address 10.11.1.1/24;
        }
    }
}

Конфигурация зон:

root@jun-srx100-04# show security
zones {
    security-zone Internal {
        interfaces {
            fe-0/0/2.0 {
                host-inbound-traffic {
                    system-services {
                        all;
                    }
                }
            }
        }
    }
    security-zone Internet {
        interfaces {
            fe-0/0/0.0 {
                host-inbound-traffic {
                    system-services {
                        dns;
                        traceroute;
                        ping;
                    }
                }
            }
        }
    }
}

Конфигурация Destination NAT:

nat {
    destination {
        pool webpool {
            address 10.11.1.2/32;
        }
        rule-set webnat {
            from zone Internet;
            rule 1 {
                match {
                    destination-address 80.80.80.80/32;
                    destination-port 80;
                }
                then {
                    destination-nat {
                        pool {
                            webpool;
                        }
                    }
                }
            }
        }
    }
}

Конфигурация политик безопасности:

address-book {
    global {
        address 10.11.1.2/32 10.11.1.2/32;
    }
}
policies {
    from-zone Internal to-zone Internet {
        policy All_Internal_Internet {
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit;
            }
        }
    }
    from-zone Internet to-zone Internal {
        policy webpublish {
            match {
                source-address any;
                destination-address 10.11.1.2/32;
                application any;
            }
            then {
                permit;
            }
        }
    }
}

Все что не подпадает под политики будет блокироваться:

root@jun-srx100-04> show security policies
Default policy: deny-all

Начинаем тесты. Для начала проверим доступность внешнего адреса:

ping 80.80.80.80


Адрес отвечает, и мы можем посмотреть сессии на SRX:

root@jun-srx100-04> show security flow session
Session ID: 13026, Policy name: self-traffic-policy/1, Timeout: 2, Valid
  In: 80.80.80.10/103 --> 80.80.80.80/1;icmp, If: fe-0/0/0.0, Pkts: 1, Bytes: 60
  Out: 80.80.80.80/1 --> 80.80.80.10/103;icmp, If: .local..0, Pkts: 1, Bytes: 60

Session ID: 13027, Policy name: self-traffic-policy/1, Timeout: 2, Valid
  In: 80.80.80.10/104 --> 80.80.80.80/1;icmp, If: fe-0/0/0.0, Pkts: 1, Bytes: 60
  Out: 80.80.80.80/1 --> 80.80.80.10/104;icmp, If: .local..0, Pkts: 1, Bytes: 60
Total sessions: 2

Далее проверим работу трансляции адреса получателя (Destination NAT):

telnet 80.80.80.80 80


NAT работает:

Session ID: 12979, Policy name: webpublish/5, Timeout: 298, Valid
  In: 80.80.80.10/2241 --> 80.80.80.80/80;tcp, If: fe-0/0/0.0, Pkts: 2, Bytes: 92
  Out: 10.11.1.2/80 --> 80.80.80.10/2241;tcp, If: fe-0/0/2.0, Pkts: 1, Bytes: 52
Total sessions: 1

На веб сервере можно запустить запись пакетов:

Теперь попробуем получить доступ через внешний интерфейс SRX на внутренний адрес сервера:

telnet 10.11.1.2 80


И у нас это получается!

Session ID: 13114, Policy name: webpublish/5, Timeout: 296, Valid
  In: 80.80.80.10/2244 --> 10.11.1.2/80;tcp, If: fe-0/0/0.0, Pkts: 2, Bytes: 92
  Out: 10.11.1.2/80 --> 80.80.80.10/2244;tcp, If: fe-0/0/2.0, Pkts: 1, Bytes: 52
Total sessions: 1

И в довершение проверим сетевую доступность веб сервера:

ping 10.11.1.2


Session ID: 13216, Policy name: webpublish/5, Timeout: 2, Valid
  In: 80.80.80.10/112 --> 10.11.1.2/1;icmp, If: fe-0/0/0.0, Pkts: 1, Bytes: 60
  Out: 10.11.1.2/1 --> 80.80.80.10/112;icmp, If: fe-0/0/2.0, Pkts: 1, Bytes: 60

Session ID: 13218, Policy name: webpublish/5, Timeout: 2, Valid
  In: 80.80.80.10/113 --> 10.11.1.2/1;icmp, If: fe-0/0/0.0, Pkts: 1, Bytes: 60
  Out: 10.11.1.2/1 --> 80.80.80.10/113;icmp, If: fe-0/0/2.0, Pkts: 1, Bytes: 60
Total sessions: 2

По результатам тестов можно сделать следующий вывод: воспринимать трансляцию сетевых адресов (NAT) как замену межсетевому экрану ни в коем случае не стоит.