Обеспечивает ли NAT безопасность?

Question

Я слежу за обсуждением перехода IPv4-> IPv6, а IPv6, похоже, вообще не любит NAT.

Я всегда думал, что NAT был полезен в v4 для некоторой безопасности, я знаю, что он на самом деле не скрывает компьютеры, но делает их труднее получить доступ, конечно, он позволяет ограничить доступ к портам на компьютерах за NAT шлюз.

Утверждение IPv6 заключается в том, что он не обеспечивает безопасность, поэтому вместо него следует использовать реальные межсетевые экраны и маршрутизаторы шлюзов. Мне не нравится, что вся моя домашняя сеть выставляется в интернете.

Так это хорошо или плохо?

Answer 1

NAT допускает определенный тип безопасности, так как люди за пределами вашей сети не могут инициировать соединения внутри вашей сети. Это сокращает количество червей и других вредоносных программ. Это помогает некоторым.

Вещи это не помогает:

• Другие вредоносные программы извне. Вирусы, драйв, браузерные угоны, трояны.
• Любая атака изнутри. Если какой-либо компьютер скомпрометирован внутренне, они могут свободно управлять другими вашими компьютерами.

Это не брандмауэр.

• Межсетевые экраны могут блокировать трафик в обоих направлениях. Это может помочь заблокировать вредоносные программы от подключения к управляющим компьютерам или загрузки нового кода. Но это должно быть настроено.
• Межсетевые экраны могут быть настроены на запись того, что они блокируют, NAT ничего не блокирует, ничего не регистрирует.
• Межсетевые экраны могут блокировать атаки определенных IP-адресов на вашу сеть. NAT - это почти все (вы настраиваете переадресацию портов на сервер во внутренней сети) или ничего.
• Хороший брандмауэр может ограничивать скорость, смягчая некоторые атаки DOS. NAT, все еще все или ничего.
• Вероятно, другие интересные вещи, так как я не следил за интересными функциями брандмауэра некоторое время.

Таким образом, вам все еще нужны брандмауэры на всех внутренних компьютерах, потому что, если что-то скомпрометировано, оно может захватить все остальное в вашей сети. Помните, что такие термины, как черви, вирусы, трояны, больше ничего не значат. Любая вредоносная программа может загрузить большую полезную нагрузку, а затем использовать несколько векторов атак внутри вашей сети. То есть, эксплойты нулевого дня могут скомпрометировать один компьютер в вашей сети и уничтожить все.

Итак, суть в том, что он обеспечивает подмножество безопасности в определенном направлении, но это не значит, что вы можете быть менее безопасны в отношении чего-либо еще. Вам по-прежнему нужно применять передовой опыт в отношении всего остального, поэтому большинство людей говорят, что это не дает никакой безопасности, что вводит в заблуждение, потому что она обеспечивает некоторые.

Answer 2

Прежде всего, NAT - это решение проблемы нехватки IPv4. В качестве дополнительного преимущества он ограничивает доступ к внутренним машинам, которые обеспечивают функцию, подобную брандмауэру.

Все маршрутизаторы NAT, которые я использовал (только для домашнего использования), также имели встроенный межсетевой экран. Если вы решите не использовать NAT, вам все равно нужен брандмауэр, потому что все ваши внутренние машины открыты без него.

Answer 3

NAT не является функцией безопасности.

Чтобы доказать это себе, представьте себе маршрутизатор NAT без брандмауэра. Каждый внешний порт, который использовался внутренней машиной, просто остается открытым.

Настройка NAT, подобная этой, не обеспечит никакой безопасности, потому что любой снаружи может просто подключиться к вашим внутренним портам через последний использованный вами внешний порт.

По сути, UDP уже реализован таким образом, потому что нет соединения для отслеживания шлюза NAT. Хорошо, я немного соврал, потому что UDP ограничен приемом с последнего IP-адреса, на который был отправлен. Но, чтобы напугать всех, в те времена, когда NAT был новым, некоторые производители не понимали этого правильно, и порты UDP были открыты для всего мира.

То, что обеспечивает фактическую безопасность в шлюзе NAT, это не NAT, а межсетевой экран с сохранением состояния.

Комментарии, утверждающие, что я ошибаюсь, продолжают путать брандмауэр с операцией NAT. Очевидно, что они никогда не играли со старым маршрутизатором (1998-й), который просто назначал сопоставление портов на основе триггера пакетов. Эти маршрутизаторы не имели отслеживания состояния и не файрвола, пока они осуществляют NAT. Без безопасности. Какая моя точка зрения.

Answer 4

Эта тема действительно интересная - спасибо, что спросили Нету.

Вот моя мысль - NAT, являющийся функцией безопасности, - это действительно косвенная выгода. Его главная цель - использовать один IP-адрес в нескольких системах. Бывают ситуации, когда вы покупаете более дешевый Интернет Comcast, он дает вам только один статический IP-адрес. Это означает, что для одновременной работы нескольких систем ваш маршрутизатор должен управлять ими через NAT.

Я ценю страх безопасности из-за этого, но все вышеизложенные правы - безопасность основана на вашем брандмауэре, а не на настройке NAT.

Есть интересные / крутые варианты, если вам нужна безопасность.

1) Сначала сделайте основы - проверьте настройки маршрутизатора на вашем маршрутизаторе. Если у него нет ничего стоящего, поищите его в Google и посмотрите, сможете ли вы его прошить с помощью DD-WRT (с открытым исходным кодом и плохой ОС $$ router).

2) Абстрагируйте ваш IP-адрес с помощью (a) запуска чего-либо частного на виртуальной машине в вашей системе (b) с использованием прокси-сервера или службы, например надстройки Cocoon для FF (c) установки Tor.

Такая мысль может продолжаться какое-то время, поэтому я пока оставлю ее здесь. Божья скорость в защите себя онлайн.

Answer 5

Это в значительной степени субъективно;)

Мои два цента: Да, NAT повышает безопасность в том смысле, что он действует как частичный брандмауэр, который поставляется "бесплатно". Но вы уже высказываете мою мысль: это просто делает необходимым настоящий брандмауэр. Но это не значит, что это должны быть настольные брандмауэры - многие обычные маршрутизаторы IPv4 уже поставляются с брандмауэром поверх NAT.

Подводя итоги: если на маршрутизаторе имеется функциональный, правильно настроенный брандмауэр, на компьютерах в сети IPv6 без NAT все равно будет открыто столько портов, сколько было с IPv4 (нет), и вместо переадресации портов вы Делаем исключения брандмауэра.