NAT güvenlik sağlıyor mu?

13

IPv4-> IPv6 geçişiyle ilgili tartışmaları izliyorum ve IPv6 hiç NAT gibi görünmüyor.

Her zaman NAT'ın bazı güvenlik için v4'te yararlı olduğunu düşündüm, bilgisayarları gerçekten gizlemediğini biliyorum, ancak onları elde etmeyi zorlaştırıyor, kesinlikle NAT'ın arkasındaki bilgisayarlardaki bağlantı noktalarına erişimi sınırlandırmayı kolaylaştırıyor geçidi.

IPv6 çekişmesi, güvenlik sağlamadığı, bunun yerine gerçek güvenlik duvarlarının ve ağ geçidi yönlendiricilerinin kullanılması gerektiğidir. Tüm ev ağımın internete maruz kalma fikrini sevmiyorum.

Peki, bu iyi mi kötü mü?

security  ipv6  nat  ipv4 
Neth
kaynak
6
Ağ Adres Çevirisi'nin öncelikle güvenlikle ilgili olduğunu söyleyemem. Bu, dahili olarak tüm bir ağa kendi IP ve alt ağ aralığında çevirebilen tek bir harici IP adresinizin olmasına izin vermekle ilgilidir. Tabii ki bunun yararları var, ama daha çok IPv4 sıkıntısı için bir "düzeltme" olarak görüyorum.
NAT'lı hemen hemen her şeyin güvenlik duvarına sahip olması dışında, benzerler. NAT genellikle (IIUC), göndermek için açılmadığı bir bağlantı noktasına bağlantıları bırakır ve bu nedenle sizi bu şekilde daha güvenli hale getirir.
tobylane
1
WAIT, ağınızdaki her bilgisayarın herkese açık bir IPV6 alacağı anlamına mı geliyor? Demek istediğim, bunu yapmak için yeterli IPV6'larımız var, yani ... İnternet paketleriyle insanlar sadece bir IPV6 serisi alıyor mu? Ayrıca bu doğruysa, ISS'lere, yönlendirici açıkça NAT göstermediğinde ağınızdaki bilgisayar sayısını sınırlama imkanı verir. Umarım öyledir. Muhtemelen yanlış okudum.
sinni800
1
Teknik olarak daha ayrıntılı yanıtlar için serverfault ile ilgili bu sorulara bakın. serverfault.com/questions/63704/nat-as-a-firewall serverfault.com/questions/184524/…
Zoredache
Monica'yı eski durumuna döndürün - M. Schröder

Yanıtlar:

7

NAT, ağınızın dışındaki kişilerin ağınızın iç kısmına bağlantı başlatamaması nedeniyle belirli bir güvenlik türüne izin verir. Bu, solucanları ve diğer kötü amaçlı yazılım sınıflarını azaltır. Bu biraz yardımcı olur.

Yardım etmeyen şeyler:

  • Dışarıdan gelen diğer kötü amaçlı yazılımlar. Virüsler, tarayıcı kaçırma, truva atları ile sürücü.
  • İçeriden herhangi bir saldırı. Herhangi bir bilgisayarın dahili olarak güvenliği ihlal edilmişse, diğer bilgisayarlarınızda ücretsiz dizginler vardır.

Öyle değil bir güvenlik duvarı.

  • Güvenlik duvarları her iki yönde trafiği engelleyebilir. Bu, kötü amaçlı yazılımların kontrol bilgisayarlarına bağlanmasını veya yeni kod indirmesini engellemeye yardımcı olabilir. Ancak bunun yapılandırılması gerekir.
  • Güvenlik duvarları engellediklerini günlüğe kaydedecek şekilde yapılandırılabilir, NAT hiçbir şeyi engellemez, kaydedilecek hiçbir şey yoktur.
  • Güvenlik duvarları belirli IP adreslerinin ağınıza saldırmasını engelleyebilir. NAT hemen hemen hepsi (dahili ağınızdaki bir sunucuya port yönlendirmeyi yapılandırırsınız) veya hiçbir şey yapmaz.
  • İyi bir güvenlik duvarı, bazı DOS saldırılarını azaltarak sınırı değerlendirebilir. NAT, hala hepsi ya da hiç.
  • Muhtemelen diğer harika şeyler, çünkü bir süredir güvenlik duvarı serin özelliklerine yetişmedim.

Bu nedenle, tüm dahili bilgisayarlarda güvenlik duvarlarına ihtiyacınız vardır, çünkü herhangi bir şey tehlikeye girerse, ağınızdaki diğer her şeyi ele geçirebilir. Solucanlar, virüsler, truva atları gibi terimlerin artık bir şey ifade etmediğini unutmayın. Herhangi bir kötü amaçlı yazılım büyük bir yük yükleyebilir ve ardından ağınız içinde birden çok saldırı vektörü kullanabilir. IE sıfır gün istismarları ağınızdaki bir bilgisayarın güvenliğini aşabilir ve hepsini kaldırabilir.

Mesele şu ki, belirli bir yönde bir güvenlik alt kümesi sağlar, ancak bu başka bir şey hakkında daha az güvenli olabileceğiniz anlamına gelmez. Yine de her şey hakkında en iyi uygulamaları yapmanız gerekiyor, bu yüzden çoğu insan herhangi bir güvenlik sağlamadığını söylüyor, bu da kafa karıştırıcı çünkü bazı şeyler sağlıyor.

Zengin Homolka
kaynak
NAT'ın bir güvenlik duvarı olmadığını kabul ediyorum, ancak NAT yeteneğine sahip ve çekirdeğe iyi bir erişiminiz varsa L3 paket filtrelemesi yapamayan bir cihaz bulmanın çok zor bulacağınıza inanıyorum. Bu günlerde NAT yapan hemen hemen her cihaz bunu durum bilgisi olan paket filtresinin (yani güvenlik duvarı) bir parçası olarak yapar.
Zoredache
5

Öncelikle NAT, IPv4 sıkıntısı sorunu için bir düzeltmedir. Bir yan fayda olarak, güvenlik duvarı benzeri bir işlev sağlayan dahili makinelere erişimi sınırlar.

Kullandığım tüm NAT router (ev kullanımı için) var da yerleşik bir güvenlik duvarı vardı. Yo karar tüm iç makineleri biri olmadan maruz kalmalarından dolayı NAT için hala bir güvenlik duvarı gerekir.

Chris Nava
kaynak
3

NAT bir güvenlik özelliği değildir.

Bunu kendinize kanıtlamak için, bir güvenlik duvarı olmadan bir NAT yönlendiricisini görselleştirin. Dahili bir makine tarafından kullanılan her harici port açık bırakılır.

Bunun gibi bir NAT kurulumu güvenlik sağlamaz, çünkü dışarıdaki herkes kullandığınız son harici bağlantı noktası üzerinden dahili bağlantı noktalarınıza bağlanabilir.

Nitekim UDP zaten böyle uygulanmıştır çünkü NAT ağ geçidinin izleyebileceği bir bağlantı yoktur. Tamam, biraz yalan söyledim çünkü UDP gönderilen son IP'den almakla sınırlı. Ama korkutmak herkese, NAT yeniydi geri zaman bazı satıcılar bu hakkı alamadım ve UDP portları vardı dünyaya açık.

Bir NAT ağ geçidinde gerçek güvenliği sağlayan şey NAT değil , durum bilgisi olan güvenlik duvarıdır .

Yanlış olduğumu iddia eden yorumlar, güvenlik duvarını NAT işlemiyle karıştırmaya devam ediyor. Açıkçası, hiçbir zaman bir paket tetikleyicisine dayanan bağlantı noktası eşleme atayan eski bir yönlendiriciyle (1998 ') oynamamışlardır. Bu yönlendiriciler hiçbir devlet izleme ve hiçbir güvenlik duvarı vardı, ama onlar edildi NAT uygulanması. Güvenlik olmadan. Demek istediğim bu.

Zan Lynx
kaynak
Yalnızca yönlendiricideki bağlantı noktalarına bağlanabilirler. Gelen bağlantılar için NAT girişleri engellenirse, dahili sunuculara yönlendirme yoktur.
BillThor
@ BillThor: Hayır. Güvenlik duvarını düşünüyorsunuz. Neden saf bir NAT kutusunun dahili sunuculara yönlendirilmediğini düşünüyorsunuz?
Zan Lynx
İzlenecek NAT ağ geçidi için bağlantı yok . Bu ifade son derece yanlış. NAT özellikle durum bilgisi olan izleme yapıldığından çalışır. İzleme bağlantısı durumu olmadan bağlantı noktası adresi çevirisine sahip olamazsınız. TCP NAT çevirilerinin izlenmesi kolaydır, çünkü SYN ve FIN paketi bağlantının başlangıcını ve sonunu işaretler. UDP çevirileri kısa bir süre kullanılmadığında hızlı bir şekilde zaman aşımına uğrar.
Zoredache
1
@Zoredache: Aslında yanılıyorsunuz. NAT yok değil devlet izlemeyi gerektirir. NAT'ın ilk sürümleri, giden trafiğe dayalı olarak gelen bir bağlantı noktası atadı ve zaman aşımına kadar bu ilişkilendirmeyi korudu. Bu bağlantı noktası atamasının da gelen kaynak IP'lerini filtrelemesi gerekmez, ancak gelen trafiği kabul eder ve dahili ağa yönlendirir. İnsanlar neden bunun için beni aşağılamaya devam ediyor, bilmiyorum.
Zan Lynx
2

Bu konu gerçekten ilginç - Neth'e sorduğunuz için teşekkür ederim.

İşte düşüncem - NAT'ın bir güvenlik özelliği olması gerçekten teğetsel bir faydadır. Temel amacı, tek bir IP'yi birden fazla sistemde paylaşmaktır. Daha ucuz Comcast internet satın aldığınızda, size sadece tek bir statik IP adresi verir gibi durumlar vardır. Bu, aynı anda birden fazla sistemin çevrimiçi olması anlamına gelir, yönlendiricinizin NAT aracılığıyla bunları yönetmesi gerekir.

Güvenlik korkusunu takdir ediyorum, ancak yukarıdaki herkes haklı - güvenlik, NAT kurulumunuza değil güvenlik duvarınıza dayanıyor.

Güvenlik sizin için bir şeyse, ilginç / havalı seçenekler vardır.

1) Önce temelleri yapın - yönlendiricinizde güvenlik duvarı ayarları olup olmadığını kontrol edin. Eğer değerli bir şey yoksa, google ve DD-WRT (açık kaynak ve kötü bir $$ yönlendirici işletim sistemi) ile flaş olup olmadığını görün.

2) (a) FF için Cocoon eklentisi gibi bir proxy sunucu veya hizmet kullanarak (a) Sisteminizdeki sanal makinede özel bir şey çalıştırmak (c) Tor'u Yükleme yoluyla IP adresinizi soyutlayın.

Bu tür bir düşünce bir süre daha devam edebilir, bu yüzden şimdilik burada bırakacağım. Kendinizi çevrimiçi ortamda korumaya tanıyın.

mbb
kaynak
0

Bu oldukça öznel;)

İki sentim: Evet, NAT, "ücretsiz" olarak gelen kısmi bir güvenlik duvarı gibi davranması nedeniyle güvenliği artırıyor. Ama zaten benim fikrimi dile getiriyorsunuz: Bu sadece gerçek bir güvenlik duvarını gerekli kılıyor. Ancak bu, masaüstü güvenlik duvarları olması gerektiği anlamına gelmez - birçok emtia IPv4 yönlendiricisi zaten NAT'ın üstünde bir güvenlik duvarı ile birlikte gelir.

Her şeyi özetlemek gerekirse: Yönlendirici üzerinde işlevsel, düzgün yapılandırılmış bir güvenlik duvarı varsa, NAT içermeyen bir IPv6 ağındaki bilgisayarlarda hala IPv4 (yok) ile olduğu kadar dünyaya açık olan çok sayıda bağlantı noktası olacaktır ve bağlantı noktaları yönlendirmek yerine, güvenlik duvarı istisnaları yapıyoruz.

Tobias Plutat
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.