NAT có cung cấp bảo mật không?

Tôi đang theo dõi các cuộc thảo luận về quá trình chuyển đổi IPv4-> IPv6 và IPv6 dường như không thích NAT chút nào.

Tôi đã luôn nghĩ rằng NAT rất hữu ích trong v4 đối với một số bảo mật, tôi biết nó không thực sự che giấu các máy tính nhưng điều đó khiến chúng khó truy cập hơn, chắc chắn nó giúp dễ dàng hạn chế truy cập vào các cổng trên các máy tính phía sau NAT cổng.

Sự tranh chấp IPv6 là nó không cung cấp bảo mật, thay vào đó các tường lửa và bộ định tuyến cổng thực sự nên được sử dụng. Tôi không thích ý tưởng về toàn bộ mạng gia đình của tôi bị phơi bày trên internet.

Vì vậy, đây là một điều tốt hay xấu?

NAT cho phép một loại bảo mật nhất định, trong đó những người bên ngoài mạng của bạn không thể bắt đầu các kết nối vào bên trong mạng của bạn. Điều này cắt giảm sâu và các loại phần mềm độc hại khác. Điều này giúp một số.

Những điều nó không giúp được:

• Phần mềm độc hại khác từ bên ngoài. Virus, lái xe bởi trình duyệt không tặc, trojan.
• Bất kỳ cuộc tấn công từ bên trong. Nếu bất kỳ máy tính nào bị xâm nhập nội bộ, họ có quyền tự do trên các máy tính khác của bạn.

Nó không phải là tường lửa.

• Tường lửa có thể chặn giao thông cả hai hướng. Điều này có thể giúp chặn phần mềm độc hại kết nối với máy tính điều khiển hoặc tải xuống mã mới. Nhưng điều này cần phải được cấu hình.
• Tường lửa có thể được cấu hình để ghi nhật ký những gì chúng chặn, NAT không chặn bất cứ thứ gì, không có gì để đăng nhập.
• Tường lửa có thể chặn các địa chỉ IP cụ thể tấn công mạng của bạn. NAT là khá nhiều tất cả (bạn định cấu hình chuyển tiếp cổng đến một máy chủ trong mạng nội bộ của bạn) hoặc không có gì.
• Một tường lửa tốt có thể đánh giá giới hạn, giảm thiểu một số cuộc tấn công DOS. NAT, vẫn là tất cả hoặc không có gì.
• Có lẽ là những thứ hay ho khác, vì tôi đã không theo kịp các tính năng tuyệt vời của tường lửa.

Vì vậy, bạn vẫn cần tường lửa trên tất cả các máy tính nội bộ, bởi vì nếu bất cứ điều gì bị xâm phạm, nó có thể chiếm lấy bất cứ thứ gì khác trong mạng của bạn. Hãy nhớ rằng các thuật ngữ như sâu, virus, trojan không còn ý nghĩa gì nữa. Bất kỳ phần mềm độc hại nào cũng có thể tải xuống một tải trọng lớn và sau đó sử dụng nhiều vectơ tấn công trong mạng của bạn. Khai thác không ngày IE có thể thỏa hiệp một máy tính trên mạng của bạn và gỡ bỏ tất cả.

Vì vậy, vấn đề là, nó cung cấp một tập hợp con bảo mật theo một hướng cụ thể, nhưng điều đó không có nghĩa là bạn có thể kém an toàn hơn về bất cứ điều gì khác. Bạn vẫn cần thực hiện các thực tiễn tốt nhất về mọi thứ khác, vì vậy hầu hết mọi người nói rằng nó không cung cấp bất kỳ bảo mật nào, điều này gây nhầm lẫn bởi vì nó cung cấp một số.

Chủ yếu, NAT là một sửa chữa cho vấn đề thiếu hụt IPv4. Vì lợi ích phụ, nó giới hạn quyền truy cập vào các máy bên trong cung cấp chức năng giống như tường lửa.

Tất cả các bộ định tuyến NAT tôi đã sử dụng (chỉ sử dụng tại nhà) cũng đã tích hợp tường lửa. Nếu bạn quyết định không sử dụng NAT, bạn vẫn cần tường lửa vì tất cả các máy bên trong của bạn đều bị lộ mà không có.

NAT không phải là một tính năng bảo mật.

Để chứng minh điều này với chính mình, hãy hình dung một bộ định tuyến NAT không có tường lửa. Mỗi cổng bên ngoài được sử dụng bởi một máy bên trong chỉ đơn giản là mở.

Một thiết lập NAT như thế này sẽ không bảo mật vì bất kỳ ai ở bên ngoài chỉ có thể kết nối với các cổng bên trong của bạn thông qua cổng bên ngoài cuối cùng bạn sử dụng.

Trên thực tế, UDP đã được triển khai như vậy vì không có kết nối nào cho cổng NAT để theo dõi. Được rồi, tôi đã nói dối một chút vì UDP bị giới hạn nhận từ IP cuối cùng được gửi đến. Nhưng để làm mọi người sợ hãi, trở lại khi NAT còn mới, một số nhà cung cấp đã không nhận được quyền này và các cổng UDP đã mở ra cho thế giới.

Vì vậy, những gì cung cấp bảo mật thực tế trong một cổng NAT không phải là NAT mà là tường lửa có trạng thái .

Các ý kiến ​​cho rằng tôi sai cứ nhầm lẫn tường lửa với hoạt động của NAT. Họ rõ ràng chưa bao giờ chơi với một bộ định tuyến cũ hơn (1998'ish) chỉ đơn giản là gán ánh xạ cổng dựa trên trình kích hoạt gói. Các bộ định tuyến này không có theo dõi trạng thái và không có tường lửa, nhưng họ đang thực hiện NAT. Không có bảo mật. Đó là quan điểm của tôi.

Chủ đề này thực sự thú vị - cảm ơn bạn đã hỏi Neth.

Đây là suy nghĩ của tôi - NAT là một tính năng bảo mật thực sự là một lợi ích tiếp tuyến. Mục đích chính của nó là chia sẻ một IP duy nhất trên nhiều hệ thống. Có những tình huống như khi bạn mua internet Comcast rẻ hơn, họ chỉ cung cấp cho bạn một địa chỉ IP tĩnh duy nhất. Điều đó có nghĩa là để có nhiều hệ thống trực tuyến cùng một lúc, bộ định tuyến của bạn phải quản lý chúng thông qua NAT.

Tôi đánh giá cao nỗi sợ bảo mật của nó, nhưng mọi người ở trên đều đúng - bảo mật dựa trên tường lửa của bạn chứ không phải thiết lập NAT của bạn.

Có những lựa chọn thú vị / thú vị để xem xét nếu bảo mật là điều của bạn.

1) Thực hiện các thao tác cơ bản trước - kiểm tra bộ định tuyến của bạn để biết cài đặt tường lửa. Nếu nó không có gì đáng giá, hãy google nó và xem liệu bạn có thể flash nó với DD-WRT (mã nguồn mở và xấu hệ điều hành bộ định tuyến $$).

2) Tóm tắt địa chỉ IP của bạn thông qua (a) Chạy mọi thứ riêng tư trong máy ảo trên hệ thống của bạn (b) bằng máy chủ proxy hoặc dịch vụ như bổ trợ Cocoon cho FF (c) Cài đặt Tor.

Kiểu suy nghĩ này có thể tiếp tục trong một thời gian, vì vậy bây giờ tôi sẽ để nó ở đây. Thần may mắn trong việc bảo vệ bản thân trực tuyến.

Điều này là khá nhiều chủ quan;)

Hai xu của tôi: Có, NAT tăng cường bảo mật ở chỗ nó hoạt động như một tường lửa một phần "miễn phí". Nhưng bạn đã đưa ra quan điểm của mình: Điều này chỉ làm cho một tường lửa thực sự cần thiết. Nhưng điều đó không có nghĩa là nó phải là tường lửa trên máy tính để bàn - nhiều bộ định tuyến IPv4 hàng hóa đã đi kèm với tường lửa trên NAT.

Để tổng hợp mọi thứ: Nếu có một tường lửa được cấu hình đúng chức năng trên bộ định tuyến, các máy tính trên mạng IPv6 không có NAT vẫn sẽ có nhiều cổng mở ra thế giới như với IPv4 (không có) và thay vì các cổng chuyển tiếp, bạn đang tạo ra ngoại lệ tường lửa.