Чи забезпечує НАТ безпеку?

Я слідкую за дискусіями про перехід IPv4-> IPv6, а IPv6, схоже, не подобається NAT.

Я завжди думав, що NAT був корисним у v4 для певної безпеки, я знаю, що він насправді не приховує комп'ютери, але це ускладнює їх діставання, звичайно, це дозволяє легко обмежити доступ до портів на комп'ютерах, що стоять за NAT шлюз.

Заперечення IPv6 полягає в тому, що він не забезпечує безпеку, а натомість слід використовувати справжні брандмауэры та маршрутизатори шлюзів. Мені не подобається, що вся моя домашня мережа відкривається в Інтернеті.

Отже, це добре чи погано?

NAT дозволяє певний тип захисту, оскільки люди, які не знаходяться у вашій мережі, не можуть ініціювати з'єднання всередині вашої мережі. Це знижує кількість черв'яків та інших класів шкідливих програм. Це допомагає деяким.

Те, що не допомагає:

• Інші зловмисні програми ззовні. Віруси, керування викраденнями браузерів, троянами.
• Будь-яка атака зсередини. Якщо будь-який комп'ютер порушений внутрішньо, вони можуть безкоштовно увімкнути ваші інші комп’ютери.

Це не брандмауер.

• Брандмауери можуть блокувати рух обох напрямків. Це може допомогти блокувати зловмисне програмне забезпечення підключення до керуючих комп'ютерів або завантаження нового коду. Але це потрібно налаштувати.
• Брандмауери можуть бути налаштовані для того, щоб записувати те, що вони блокують, NAT нічого не блокує, нічого не входить.
• Брандмауери можуть блокувати конкретні IP-адреси від нападу на вашу мережу. NAT - це майже все (ви налаштовуєте переадресацію портів на сервер у своїй внутрішній мережі) або нічого.
• Хороший брандмауер може обмежувати обмеження, пом'якшуючи деякі атаки DOS. NAT, все-таки все або нічого.
• Напевно, інші цікаві речі, оскільки я деякий час не встигав за цікавими функціями брандмауера.

Отже, вам все ще потрібні брандмауери на всіх внутрішніх комп’ютерах, тому що якщо щось порушено, воно може перейняти все інше у вашій мережі. Пам’ятайте, що такі терміни, як глисти, віруси, трояни вже не означають багато чого. Будь-яке зловмисне програмне забезпечення може завантажити велику корисну навантаження, а потім використовувати кілька векторів атак всередині вашої мережі. IE нульові подвиги можуть скомпрометувати один комп’ютер у вашій мережі та зняти все це.

Отже, справа в тому, що вона забезпечує підмножину безпеки в певному напрямку, але це не означає, що ви можете бути менш безпечними щодо будь-якого іншого. Вам все-таки потрібно робити найкращі практики щодо всього іншого, тому більшість людей кажуть, що це не дає ніякої безпеки, що заплутано, оскільки це дає деякі.

Перш за все, NAT - це виправлення проблеми дефіциту IPv4. Як побічна перевага це обмежує доступ до внутрішніх машин, що забезпечує функцію, подібну до брандмауера.

У всіх NAT-маршрутизаторах, які я використовував (лише для домашнього використання), також був вбудований брандмауер. Якщо ви вирішите не NAT, вам все ще потрібен брандмауер, оскільки всі ваші внутрішні машини відкриті без одного.

NAT - не функція безпеки.

Щоб довести це собі, візуалізуйте NAT-роутер без брандмауера. Кожен зовнішній порт, який використовувався внутрішньою машиною, просто залишається відкритим.

Налаштування NAT, подібне до цього, не забезпечить ніякої безпеки, оскільки хтось із зовнішньої сторони може просто підключитися до внутрішніх портів через останній зовнішній порт, який ви використовували.

Власне, UDP вже реалізований таким чином, оскільки для шлюзу NAT немає зв'язку. Гаразд, я збрехав трохи тому, що UDP обмежений отриманням від останнього IP, на який було надіслано. Але, щоб налякати всіх, тоді, коли NAT був новим, деякі постачальники не зрозуміли цього, і порти UDP були відкриті для світу.

Тож, що забезпечує фактичну безпеку в шлюзі NAT, це не NAT, а є потужний брандмауер .

У коментарях, що стверджують, що я помиляюся, продовжуйте плутати брандмауер з операцією NAT. Вони, очевидно, ніколи не грали зі старшим маршрутизатором (1998'іш), який просто призначив картування портів на основі тригера пакетів. Ці маршрутизатори не мали відстеження стану і не файрволу, але вони були реалізацію NAT. Без безпеки. Яка моя думка.

Ця тема дійсно цікава - дякую, що попросили Neth.

Ось моя думка - NAT є функцією безпеки - це дійсно дотична користь. Його головна мета - обмін єдиним ІС в декількох системах. Бувають ситуації, наприклад, коли ви купуєте дешевший Інтернет Comcast, вони дають вам лише одну статичну IP-адресу. Це означає, що одночасно мати кілька систем в Інтернеті, ваш маршрутизатор повинен керувати ними через NAT.

Я ціную страх перед цим щодо безпеки, але кожен із них має рацію - безпека базується на вашому брандмауері, а не на налаштуваннях NAT.

Є цікаві / цікаві варіанти, щоб вивчити, чи безпека - це ваша річ.

1) Виконайте основи спочатку - перевірте свій маршрутизатор на параметри брандмауера. Якщо у нього нічого не варте, перейдіть на Google і перевірте, чи можете ви прошивати його DD-WRT (з відкритим кодом та поганою ОС $$ роутера).

2) Абстрагуйте свою IP-адресу через (a) Запуск будь-якого приватного у віртуальній машині вашої системи (b) за допомогою проксі-сервера або сервісу, наприклад надбудови Cocoon для FF (c) Встановлення Tor.

Така думка може тривати на деякий час, тому я покину її тут. Швидкість, що захищає себе в Інтернеті.

Це в значній мірі суб'єктивно;)

Мої два центи: Так, NAT підвищує безпеку тим, що він діє як частковий брандмауер, який постачається "безкоштовно". Але ви вже зазначаєте: Це просто робить справжній брандмауер необхідним. Але це не означає, що це повинні бути настінні брандмауери - багато товарних IPv4-маршрутизаторів вже поставляються з брандмауером поверх NAT.

Підсумовуючи все: Якщо на маршрутизаторі є функціональний, правильно налаштований брандмауер, комп'ютери в мережі IPv6 без NAT все одно матимуть стільки портів, які були відкриті у світі, як і в IPv4 (жоден), і замість переадресації портів ви робимо винятки з брандмауера.