Opções de segurança do NAT

Nas configurações avançadas do WinRoute (build 20 e posteriores) há um menu de opções de segurança do NAT que incorpora um modo silencioso. Modo silencioso significa que, para tipos específicos de solicitações, o WinRoute pode “derrubar” pacotes de forma que sua rede mostre-se invisível para o mundo externo.

Solicitação de eco do ICMP de entrada:

O Internet Control Message Protocol (ICMP) é o protocolo unicamente para envio de uma solicitação de informações (pingar, exemplo - ping 206.86.211.32). Quando qualquer computador tenta pingar o host do WinRoute, as Opções de segurança do NAT oferecem duas reações:

Se você selecionar a opção “enviar resposta a eco do ICMP” o computador solicitante receberá a resposta.

Se você selecionar a opção “derrubar solicitação (modo silencioso)” o datagrama será derrubado, simplesmente perdido em trânsito. Em seguida, a ponta solicitante receberá a mensagem “host de destino inacessível.”

Pacotes de entrada sem entrada na tabela do NAT:

O WinRoute inspeciona todo o tráfego de entrada e de saída de uma rede. Se o WinRoute está para executar ou não o NAT em um determinado pacote, primeiramente ele examinará o pacote e registrará certas informações tais como o número da porta e o endereço IP na tabela do NAT. Desta maneira, quando da volta do pacote de retorno, o WinRoute pode compará-lo com a tabela NAT para determinar para quem rotear o pacote de volta. Se o pacote não está iniciado, significando que não é um pacote de retorno, o WinRoute irá compará-lo com a tabela do NAT e determinar que o mesmo não está iniciado. Se nenhum mapeamento de porta foi criado, o WinRoute não estará apto a enviar o pacote para qualquer um por dentro da rede.

A opção “enviar pacote de negação” simplesmente retornará um pacote ao emitente informando que a conexão não pode ser estabelecida.

A opção “derrubar pacote (modo silencioso)" eliminará o pacote e não enviará um pacote de retorno. Desta maneira o host do WinRoute, assim como a rede por trás dele, parecerá que não existe.

Nos pacotes UDP de entrada:

Algumas aplicações que usam o User Datagram Protocol (UDP) exigem que você envie pacotes UDP para um servidor central. O WinRoute registra a origem e o destino de todos os pacotes UDP de saída para o servidor atribuído pela aplicação que envia o pacote. Em alguns casos, o servidor pode passar seu endereço IP e a porta para um outro computador que em seguida envia a você um pacote UDP com a informação que você solicitou. Mesmo que este computador aleatório tenha um endereço IP diferente do servidor, ainda pode enviar pacotes UDP para dentro de sua rede porque ele sabe qual o endereço IP e qual porta usar.

Usando este exemplo, se você selecionar “pode passar pelo NAT com qualquer endereço IP de origem” o pacote UDP passará através do WinRoute.

Para melhorar a segurança, você pode selecionar “pode passar pelo NAT apenas se vier do endereço IP de origem registrado quando o primeiro pacote de saída da rede foi enviado.” Isto pode permitir que apenas os pacotes UDP do servidor central passem através do WinRoute.

Opções de log do NAT:

Dentro das opções avançadas de segurança há a habilidade de registrar informações de pacotes que entram na rede e que não foram originalmente solicitados por qualquer um de dentro da rede. Isto normalmente faz parte de redes nas quais funcionam servidores Web, FTP, DNS ou de outros tipos por trás do WinRoute e isto é muito útil na determinação da origem de um problema.

Log de pacotes de chegada sem entrada na tabela do NAT:

O WinRoute oferece duas opções de registrar o log de pacotes TCP que não estão na tabela do NAT.

Se você escolher registrar o log "apenas de pacotes com o sinalizador SYN" (sincronizar), o pacote TCP será registrado no log apenas se uma conexão foi estabelecida entre o remetente e o receptor.

A opção "todos os pacotes TCP" simplesmente registra no logo todos os pacotes TCP de entrada não importando se uma conexão foi estabelecida ou não. Uma vez que os pacotes UDP não usam sinalizadores, todos os pacotes UDP que não estão iniciados serão registrados no log se você escolher registrá-los.

Log em um arquivo ou janela:

Se você selecionar “registrar o log dentro da janela de segurança” pode escolher por visualizar as informações do log da aplicação de administração do WinRoute pelo menu Exibir-Registros de Log-Log de segurança.

Se você escolher "registrar o log em um arquivo", o WinRoute gravará as informações no log de segurança, na pasta de logs do WinRoute Pro (normalmente c:/Program Files/WinRoute Pro/Logs)

NAT Security Options