Czy NAT zapewnia bezpieczeństwo?

Śledzę dyskusje na temat przejścia z IPv4-> IPv6, a IPv6 wcale nie lubi NAT.

Zawsze myślałem, że NAT był pomocny w v4 dla pewnej ochrony, wiem, że tak naprawdę nie ukrywa komputerów, ale utrudnia dostęp do nich, z pewnością ułatwia ograniczenie dostępu do portów na komputerach za NAT przejście.

Twierdzeniem IPv6 jest to, że nie zapewnia bezpieczeństwa, zamiast tego należy używać prawdziwych zapór ogniowych i routerów bram. Nie podoba mi się pomysł, że cała moja domowa sieć jest dostępna w Internecie.

Czy to dobra czy zła rzecz?

NAT pozwala na pewien rodzaj bezpieczeństwa, polegający na tym, że osoby spoza twojej sieci nie mogą inicjować połączeń z siecią wewnętrzną. Ogranicza to liczbę robaków i innych klas złośliwego oprogramowania. To pomaga niektórym.

Czego to nie pomaga:

• Inne złośliwe oprogramowanie z zewnątrz. Wirusy kierowane przez porywaczy przeglądarki, trojany.
• Każdy atak od wewnątrz. Jeśli jakikolwiek komputer zostanie naruszony wewnętrznie, może on swobodnie korzystać z innych komputerów.

To nie jest zapora ogniowa.

• Zapory ogniowe mogą blokować ruch w obu kierunkach. Pomoże to zablokować łączenie się złośliwego oprogramowania w celu kontrolowania komputerów lub pobieranie nowego kodu. Ale to trzeba skonfigurować.
• Zapory można skonfigurować tak, aby rejestrowały to, co blokują, NAT niczego nie blokuje, nic do rejestrowania.
• Zapory ogniowe mogą blokować określone adresy IP przed atakiem na twoją sieć. NAT to właściwie wszystko (konfigurujesz przekierowanie portów do serwera w wewnętrznej sieci) lub nic.
• Dobra zapora ogniowa może ograniczać szybkość, łagodząc niektóre ataki DOS. NAT, wciąż wszystko albo nic.
• Prawdopodobnie inne fajne rzeczy, ponieważ od jakiegoś czasu nie nadążałem za fajnymi funkcjami zapory.

Tak więc nadal potrzebujesz zapór ogniowych na wszystkich komputerach wewnętrznych, ponieważ jeśli coś zostanie naruszone, może przejąć wszystko inne w twojej sieci. Pamiętaj, że terminy takie jak robaki, wirusy, trojany nie mają już większego znaczenia. Każde złośliwe oprogramowanie może pobrać dużą ładowność, a następnie użyć wielu wektorów ataku w sieci. Exploity IE zero day mogą zagrozić jednemu komputerowi w sieci i zniszczyć wszystko.

Chodzi o to, że zapewnia podzbiór bezpieczeństwa w określonym kierunku, ale nie oznacza to, że możesz być mniej bezpieczny w czymkolwiek innym. Nadal musisz stosować najlepsze praktyki dotyczące wszystkiego innego, więc większość ludzi twierdzi, że nie daje to żadnego bezpieczeństwa, co jest mylące, ponieważ zapewnia pewne.

Przede wszystkim NAT jest rozwiązaniem problemu niedoboru IPv4. Dodatkową korzyścią jest ograniczenie dostępu do wewnętrznych maszyn, które zapewniają funkcję podobną do zapory.

Wszystkie routery NAT, których używałem (tylko do użytku domowego), mają również wbudowaną zaporę ogniową. Jeśli zdecydujesz się nie używać NAT, nadal potrzebujesz zapory ogniowej, ponieważ wszystkie twoje wewnętrzne maszyny są narażone bez niej.

NAT nie jest funkcją bezpieczeństwa.

Aby to udowodnić, wizualizuj router NAT bez zapory. Każdy port zewnętrzny używany przez maszynę wewnętrzną jest po prostu pozostawiony otwarty.

Taka konfiguracja NAT nie zapewni żadnego bezpieczeństwa, ponieważ każdy z zewnątrz może po prostu połączyć się z portami wewnętrznymi przez ostatni użyty port zewnętrzny.

W rzeczywistości protokół UDP jest już tak zaimplementowany, ponieważ brama NAT nie ma połączenia do śledzenia. Okłamałem trochę, ponieważ UDP ogranicza się do odbioru z ostatniego adresu IP, który został wysłany. Ale aby przestraszyć wszystkich, w czasach, gdy NAT był nowy, niektórzy dostawcy nie zrozumieli tego poprawnie, a porty UDP były otwarte na świat.

Tak więc to, co zapewnia rzeczywiste bezpieczeństwo w bramie NAT, to nie NAT, ale zapora stanowa .

Komentarze stwierdzające, że się mylę, ciągle mylą zaporę z operacją NAT. Oczywiście nigdy nie grali ze starszym routerem (z 1998 roku), który po prostu przypisywał mapowanie portów na podstawie wyzwalacza pakietów. Routery te nie miały śledzenie stanu i nie firewall, ale oni byli realizacji NAT. Bez bezpieczeństwa. O to mi chodzi.

Ten temat jest naprawdę interesujący - dziękuję, że pytasz Neth.

Oto moja myśl - NAT jako funkcja bezpieczeństwa jest naprawdę styczną korzyścią. Jego głównym celem jest współdzielenie jednego adresu IP przez wiele systemów. Są sytuacje, gdy kupujesz tańszy Internet Comcast, podają tylko jeden statyczny adres IP. Oznacza to, że wiele systemów jest jednocześnie w trybie online, router musi zarządzać nimi za pośrednictwem NAT.

Doceniam obawy związane z bezpieczeństwem, ale wszyscy powyżej mają rację - bezpieczeństwo opiera się na twojej zaporze ogniowej, a nie na konfiguracji NAT.

Istnieją interesujące / fajne opcje, aby sprawdzić, czy bezpieczeństwo jest dla Ciebie.

1) Najpierw zapoznaj się z podstawami - sprawdź router pod kątem ustawień zapory. Jeśli nie ma nic wartościowego, zrewiduj go i sprawdź, czy możesz sflashować go za pomocą DD-WRT (open source i zły system operacyjny routera $$).

2) Wyodrębnij swój adres IP poprzez (a) Uruchamianie czegokolwiek prywatnego na maszynie wirtualnej w twoim systemie (b) przy użyciu serwera proxy lub usługi, takiej jak dodatek Cocoon dla FF (c) Instalowanie Tora.

Tego rodzaju myśl może trwać przez jakiś czas, więc na razie zostawiam ją tutaj. Godspeed w ochronie siebie online.

To jest dość subiektywne;)

Moje dwa centy: Tak, NAT zwiększa bezpieczeństwo, ponieważ działa jako częściowa zapora ogniowa, która jest dostarczana „za darmo”. Ale już mówisz mi o tym: to po prostu wymaga prawdziwej zapory ogniowej. Ale to nie znaczy, że muszą to być zapory na pulpicie - wiele ruterów IPv4 na rynku jest już wyposażonych w zaporę na NAT.

Podsumowując: jeśli na routerze znajduje się funkcjonalna, odpowiednio skonfigurowana zapora sieciowa, komputery w sieci IPv6 bez NAT będą nadal miały tyle portów otwartych na świat, jak w przypadku IPv4 (brak), a zamiast portów przekierowujących, robią wyjątki od zapory ogniowej.