Opzioni di protezione NAT

A partire dalla build 20, WinRoute è stato arricchito di un menu di protezione NAT che, tra le altre opzioni, permette di operare in modalità silenziosa. Ciò significa che, con particolari tipi di richieste, WinRoute può “ignorare” i pacchetti, affinché la rete appaia invisibile dall'esterno.

Richiesta di echo ICMP:

ICMP (Internet Control Message Protocol) è il protocollo che consente di iniziare una richiesta di informazioni (esecuzione di ping, ad es. - ping 206.86.211.32). Se un computer cerca di eseguire il ping sull'host di WinRoute, le Opzioni di protezione NAT prevedono due reazioni:

Se si seleziona “Rispondi alla richiesta” il computer che ha inoltrato la richiesta riceverà una risposta.

Se si seleziona “Ignora la richiesta (modalità silenziosa)” il datagramma verrà ignorato, e il computer che ha inoltrato la richiesta riceverà in risposta il messaggio “host di destinazione irraggiungibile”.

Pacchetti in entrata non indicati nella tabella NAT:

WinRoute ispeziona tutto il traffico in entrata e in uscita sulla LAN e confronta sempre il numero di porta e l'indirizzo IP del pacchetto o del record con le informazioni registrate nella tabella NAT, anche nel caso in cui non venga eseguita la NAT. In questo modo, il pacchetto di ritorno potrà essere confrontato con la tabella NAT, per stabilire a chi debba essere instradato. Se il pacchetto non è stato iniziato, e quindi non è un pacchetto di ritorno, WinRoute lo confronterà con i dati della tabella NAT, per confermare che si tratta di un pacchetto non iniziato. Se le porte non sono state mappate, non sarà possibile inviare il pacchetto a nessun componente della LAN.

L'opzione “Invia pacchetto di rifiuto” restituirà il pacchetto al mittente, informandolo che non è stato possibile stabilire la connessione.

L'opzione “Ignora la richiesta (modalità silenziosa)" eliminerà il pacchetto e non invierà alcun pacchetto di ritorno. In questo modo l'host di WinRoute, e la LAN a cui esso appartiene, sembreranno non esistere.

Pacchetti in entrata UDP:

Alcune applicazioni che utilizzano l'UDP ( User Datagram Protocol) richiedono l'invio dei pacchetti UDP a un server centrale. WinRoute registra l'origine e la destinazione di tutti i pacchetti UDP diretti al server assegnato dall'applicazione che invia il pacchetto. In alcuni casi, il server potrà passare l'indirizzo IP e la porta dell'utente a un altro computer, che risponderà all'utente con un pacchetto UDP contenente le informazioni richieste. Anche se quest'ultimo computer scelto a caso avrà un indirizzo IP diverso da quello del server, potrà comunque inviare pacchetti UDP al server, perché conosce l'IP e la porta da utilizzare.

Sulla base di quanto detto, se si scegliesse “Smista via NAT indipendentemente dall'indirizzo IP di origine” il pacchetto UDP passerebbe da WinRoute.

Per migliorare la protezione, è possibile scegliere “Smista via NAT solo se l'indirizzo IP di origine è stato registrato dopo l'invio del primo pacchetto in uscita da LAN”. In questo modo solo i pacchetti UDP provenienti dal server centrale passeranno da WinRoute.

Opzioni di registrazione log NAT:

Tra le opzioni avanzate di protezione, esiste la possibilità di registrare le informazioni dei pacchetti in arrivo non richiesti da nessuno all'interno della LAN. Questa opzione viene in genere selezionata per le reti con server Web, FTP, DNS o di altro tipo interni a WinRoute, perché consente di rintracciare l'origine di eventuali problemi.

Registrazione log pacchetti non indicati nella tabella NAT:

WinRoute offre due opzioni per la registrazione log dei pacchetti TCP non indicati nella tabella NAT.

Se si sceglie "Solo pacchetti con flag SYN" (sincronizza), il pacchetto TCP verrà registrato solo se la connessione tra mittente e destinatario sarà stata stabilita.

L'opzione "Tutti i pacchetti TCP" registra tutti i pacchetti TCP in arrivo, indipendentemente dal fatto che la connessione sia stata stabilita. Poiché i pacchetti UDP non fanno uso di flag, tutti i pacchetti UDP non iniziati verranno registrati se si sceglie la registrazione log dei pacchetti UDP.

Registrazione log su file o finestra:

Se si seleziona l'opzione “Registra log pacchetti in finestra di protezione” è possibile scegliere di visualizzare le informazioni di log dall'applicazione di amministrazione di WinRoute, scegliendo Visualizza>Registri>Registro di protezione.

Se si sceglie "Registra log su file", WinRoute salverà le informazioni di log sul log di protezione, nella cartella Logs di WinRoute Pro (generalmente c:/Program Files/WinRoute Pro/Logs)

NAT Security Options