Az OpenBSD 'elrejti' a NAT-olt gépeket a szem elöl

Az otthon is elérhetővé vált nagy sebességű internetkapcsolatok (pl. ADSL, kábelnet) idején egyre többen alkalmazzák azt a költségcsökkentő megoldást, hogy vesznek egy ADSL alapcsomagot, és azt "elosztják" több gép között. Ennek valamelyik szolgáltató nem örül (sőt tiltva van), van olyan szolgáltató, amely engedélyezi az egy háztartáson belüli elosztást. Az ilyen elosztásra talán a legjobb módszer a NAT (Network Address Translation). Sokan nem tudják, hogy a NAT-olt hálózatról jövő csomagokból következtetni lehet a "belső" hálózaton levő gépek számára. A szolgáltatók ezt kihasználva bírságot szabhatnak ki a NAT-oló felhasználók között (ha jól tudom volt is erre példa). Az erről szóló technológiai leírás a "NAT-olt hosztok megszámolásának technikája" elérhető itt (PDF). Mit lehet tenni az ügyben, hogy egy ilyen információ ne szivároghasson ki a hálózatunkról?

Az OpenBSD-s PF mostantól rendelkezik egy "random IP ID" opcióval, amely segítségével lecseréli az IP-k ID értékét valamilyen véletlenszerű értékkel, ezzel is megakadályozva a NAT-olt hálózaton levő gépek számának felderítését (TCP ujjlenyomat és NAT detektálás). Az új opció megvalósítása Daniel Hartmeier munkája. Ezzel az eljárással még biztonságosabbá lehet tenni a NAT mögött levő gépeket, mivel kevesebb információt kap a támadó.

A dologról bővebben itt.