Обеспечивает ли NAT безопасность?


12

Я слежу за обсуждением перехода IPv4-> IPv6, и кажется, что IPv6 вообще не нравится NAT.

Я всегда думал, что NAT был полезен в v4 для некоторой безопасности, я знаю, что он на самом деле не скрывает компьютеры, но затрудняет доступ к ним, безусловно, облегчает ограничение доступа к портам на компьютерах за NAT шлюз.

Утверждение IPv6 заключается в том, что он не обеспечивает безопасность, поэтому вместо него следует использовать реальные межсетевые экраны и маршрутизаторы шлюзов. Мне не нравится, что вся моя домашняя сеть выставляется в Интернете.

Так это хорошо или плохо?


6
Я бы не сказал, что преобразование сетевых адресов - это прежде всего безопасность. Речь идет о том, чтобы у вас был один внешний IP-адрес, который можно внутренне преобразовать в целую сеть, на свой диапазон IP-адресов и подсетей. Конечно, это имеет свои преимущества, но я рассматриваю это скорее как «исправление» недостатка IPv4.

Кроме того факта, что почти все с NAT имеет что-то вроде брандмауэра, они очень похожи. Обычно NAT (IIUC) сбрасывает соединения с портом, который он не открыл для отправки, и поэтому делает вас более безопасным.
tobylane

1
ПОДОЖДИТЕ, означает ли это, что каждый компьютер в вашей сети получит общедоступный IPV6? Я имею в виду, у нас достаточно IPV6 для этого, так что ... Люди просто получают диапазон IPV6 со своим интернет-пакетом? Кроме того, если это так, то интернет-провайдеры могут ограничивать количество компьютеров, которые могут быть в вашей сети, когда маршрутизатор явно не показывает NAT. Я очень на это надеюсь. Я неправильно понял, вероятно.
sinni800

1
Посмотрите эти вопросы на serverfault для более технически подробных ответов. serverfault.com/questions/63704/nat-as-a-firewall serverfault.com/questions/184524/…
Zoredache

Ответы:


6

NAT допускает определенный тип безопасности, так как люди за пределами вашей сети не могут инициировать соединения внутри вашей сети. Это сокращает количество червей и других классов вредоносных программ. Это помогает некоторым.

Вещи это не помогает:

  • Другие вредоносные программы извне. Вирусы, драйв, браузерные угоны, трояны.
  • Любая атака изнутри. Если какой-либо компьютер скомпрометирован внутренне, они могут свободно управлять другими компьютерами.

Это не брандмауэр.

  • Межсетевые экраны могут блокировать трафик в обоих направлениях. Это может помочь заблокировать вредоносные программы от подключения к управляющим компьютерам или загрузки нового кода. Но это должно быть настроено.
  • Межсетевые экраны могут быть настроены на запись того, что они блокируют, NAT ничего не блокирует, ничего не регистрирует.
  • Межсетевые экраны могут блокировать атаки определенных IP-адресов на вашу сеть. NAT - это почти все (вы настраиваете переадресацию портов на сервер во внутренней сети) или ничего.
  • Хороший брандмауэр может ограничивать скорость, смягчая некоторые атаки DOS. NAT, все еще все или ничего.
  • Вероятно, другие интересные вещи, так как я давно не поспевал за классными функциями брандмауэра.

Таким образом, вам все еще нужны брандмауэры на всех внутренних компьютерах, потому что если что-то скомпрометировано, оно может взять на себя все остальное в вашей сети. Помните, что такие термины, как черви, вирусы, трояны, больше ничего не значат. Любая вредоносная программа может загрузить большую полезную нагрузку и затем использовать несколько векторов атак внутри вашей сети. То есть эксплойты нулевого дня могут скомпрометировать один компьютер в вашей сети и уничтожить все.

Итак, суть в том, что он обеспечивает подмножество безопасности в определенном направлении, но это не значит, что вы можете быть менее безопасны в отношении чего-либо еще. Вам по-прежнему нужно применять передовой опыт во всем остальном, поэтому большинство людей говорят, что это не дает никакой безопасности, что вводит в заблуждение, потому что она действительно обеспечивает некоторые из них.


Я согласен с тем, что NAT не является брандмауэром, но я полагаю, что вам будет очень трудно найти устройство, способное к NAT и не способное выполнять фильтрацию пакетов L3, если у вас хороший уровень доступа к ядру. В наши дни почти каждое устройство, выполняющее NAT, делает это как часть фильтра пакетов с отслеживанием состояния (например, брандмауэр).
Zoredache

5

Прежде всего, NAT - это решение проблемы нехватки IPv4. В качестве дополнительного преимущества он ограничивает доступ к внутренним машинам, которые обеспечивают функцию, подобную брандмауэру.

На всех маршрутизаторах NAT, которые я использовал (только для домашнего использования), также был встроен брандмауэр. Если вы решите не использовать NAT, вам по-прежнему нужен брандмауэр, поскольку все ваши внутренние машины работают без него.


3

NAT не является функцией безопасности.

Чтобы доказать это себе, представьте себе маршрутизатор NAT без брандмауэра. Каждый внешний порт, который использовался внутренней машиной, просто остается открытым.

Такая настройка NAT не обеспечит никакой безопасности, потому что любой снаружи может подключиться к вашим внутренним портам через последний использованный вами внешний порт.

На самом деле, UDP уже реализован таким образом, потому что нет соединения для отслеживания шлюза NAT. Хорошо, я немного соврал, потому что UDP ограничен приемом с последнего IP-адреса, на который был отправлен. Но, чтобы напугать всех, в те времена , когда NAT был новым, некоторые производители не понимали этого правильно, и порты UDP были открыты для всего мира.

То, что обеспечивает фактическую безопасность в шлюзе NAT, это не NAT, а межсетевой экран с сохранением состояния .

Комментарии, утверждающие, что я ошибаюсь, продолжают путать брандмауэр с операцией NAT. Очевидно, они никогда не играли со старым маршрутизатором (1998-го года), который просто назначал сопоставление портов на основе триггера пакетов. Эти маршрутизаторы не имели отслеживания состояния и не файрвола, но они были реализацию NAT. Без безопасности. Какая моя точка зрения.


Они смогут подключаться только к портам на маршрутизаторе. За исключением записей NAT для входящих соединений, маршрутизация на внутренние серверы отсутствует.
BillThor

@BillThor: Нет. Ты думаешь о брандмауэре. Как вы думаете, почему чистый блок NAT не будет маршрутизировать на внутренние серверы?
Zan Lynx

Нет соединения для отслеживания шлюза NAT . Это утверждение крайне неверно. NAT работает специально, потому что отслеживание состояния сделано. У вас не может быть трансляции адреса порта без отслеживания состояния соединения. Трансляции TCP NAT легко отслеживать, поскольку SYN и пакет FIN отмечают начало и конец соединения. UDP-переводы быстро отключаются после короткого периода бездействия.
Зоредаче

1
@Zoredache: Вы на самом деле не правы. NAT не требует отслеживания состояния. Ранние версии NAT назначали входящий порт на основе исходящего трафика и просто поддерживали эту связь до истечения времени ожидания. Это назначение порта не должно было фильтровать входящие IP-адреса источника, но будет принимать любой входящий трафик и направлять его во внутреннюю сеть. Почему люди продолжают отрицать меня за это, я не знаю.
Zan Lynx

2

Эта тема действительно интересная - спасибо, что спросили Neth.

Вот моя мысль - NAT, являющийся функцией безопасности, - это действительно косвенная выгода. Его главная цель - использовать один IP-адрес в нескольких системах. Бывают ситуации, когда вы покупаете более дешевый Интернет Comcast, он дает вам только один статический IP-адрес. Это означает, что для одновременной работы нескольких систем ваш маршрутизатор должен управлять ими через NAT.

Я ценю страх безопасности из-за этого, но все вышеизложенные правы - безопасность основана на вашем брандмауэре, а не на настройке NAT.

Есть интересные / крутые варианты, если вам нужна безопасность.

1) Сначала выполните основные действия - проверьте настройки маршрутизатора на маршрутизаторе. Если у него нет ничего стоящего, поищите его в Google и посмотрите, сможете ли вы его прошить с помощью DD-WRT (с открытым исходным кодом и плохой ОС $$ router).

2) Абстрагируйте ваш IP-адрес с помощью (a) запуска чего-либо частного на виртуальной машине в вашей системе (b) с использованием прокси-сервера или службы, например надстройки Cocoon для FF (c) установки Tor.

Такая мысль может продолжаться какое-то время, поэтому я пока оставлю ее здесь. Божья скорость в защите себя онлайн.


0

Это в значительной степени субъективно;)

Мои два цента: Да, NAT действительно повышает безопасность в том смысле, что он действует как частичный брандмауэр, который поставляется «бесплатно». Но вы уже высказываете мою мысль: это просто делает необходимым настоящий брандмауэр. Но это не значит, что это должны быть настольные брандмауэры - многие стандартные IPv4-маршрутизаторы уже оснащены брандмауэром поверх NAT.

Подводя итоги: если на маршрутизаторе имеется функциональный, правильно настроенный брандмауэр, на компьютерах в сети IPv6 без NAT все равно будет открыто столько портов, сколько было с IPv4 (нет), и вместо переадресации портов вы Делаем исключения брандмауэра.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.