Czy NAT zapewnia bezpieczeństwo?

13

Śledzę dyskusje na temat przejścia z IPv4-> IPv6, a IPv6 wcale nie lubi NAT.

Zawsze myślałem, że NAT był pomocny w v4 dla pewnej ochrony, wiem, że tak naprawdę nie ukrywa komputerów, ale utrudnia dostęp do nich, z pewnością ułatwia ograniczenie dostępu do portów na komputerach za NAT przejście.

Twierdzeniem IPv6 jest to, że nie zapewnia bezpieczeństwa, zamiast tego należy używać prawdziwych zapór ogniowych i routerów bram. Nie podoba mi się pomysł, że cała moja domowa sieć jest dostępna w Internecie.

Czy to dobra czy zła rzecz?

Neth
źródło
6
Nie powiedziałbym, że translacja adresów sieciowych dotyczy przede wszystkim bezpieczeństwa. Chodzi o pozwolenie na posiadanie jednego zewnętrznego adresu IP, który może być tłumaczony wewnętrznie na całą sieć, na własny zakres adresów IP i podsieci. Pewnie, że ma to zalety, ale widzę to bardziej jako „naprawę” niedoboru IPv4.
Poza tym, że prawie wszystko z NAT ma coś w rodzaju zapory ogniowej, są one bardzo podobne. NAT generalnie (IIUC) odrzuca połączenia do portu, którego nie otworzył, aby je wysłać, a zatem zwiększa bezpieczeństwo w ten sposób.
tobylane
1
CZEKAJ, czy to oznacza, że ​​każdy komputer w sieci otrzyma publiczny IPV6? To znaczy, mamy wystarczająco dużo IPV6, aby to zrobić, więc ... Czy ludzie po prostu dostają zakres IPV6 z pakietem internetowym? Również jeśli jest to prawda, daje to dostawcom usług internetowych możliwość ograniczenia liczby komputerów, które można mieć w sieci, gdy router wyraźnie nie wykazuje NAT. Mam nadzieję, że tak. Prawdopodobnie źle odczytałem.
sinni800
1
Zobacz te pytania dotyczące błędu serwera, aby uzyskać bardziej szczegółowe technicznie odpowiedzi. serverfault.com/questions/63704/nat-as-a-firewall serverfault.com/questions/184524/…
Zoredache
Nie. Zobacz youtube.com/watch?v=v26BAlfWBm8
Przywróć Monikę - M. Schröder

Odpowiedzi:

7

NAT pozwala na pewien rodzaj bezpieczeństwa, polegający na tym, że osoby spoza twojej sieci nie mogą inicjować połączeń z siecią wewnętrzną. Ogranicza to liczbę robaków i innych klas złośliwego oprogramowania. To pomaga niektórym.

Czego to nie pomaga:

  • Inne złośliwe oprogramowanie z zewnątrz. Wirusy kierowane przez porywaczy przeglądarki, trojany.
  • Każdy atak od wewnątrz. Jeśli jakikolwiek komputer zostanie naruszony wewnętrznie, może on swobodnie korzystać z innych komputerów.

To nie jest zapora ogniowa.

  • Zapory ogniowe mogą blokować ruch w obu kierunkach. Pomoże to zablokować łączenie się złośliwego oprogramowania w celu kontrolowania komputerów lub pobieranie nowego kodu. Ale to trzeba skonfigurować.
  • Zapory można skonfigurować tak, aby rejestrowały to, co blokują, NAT niczego nie blokuje, nic do rejestrowania.
  • Zapory ogniowe mogą blokować określone adresy IP przed atakiem na twoją sieć. NAT to właściwie wszystko (konfigurujesz przekierowanie portów do serwera w wewnętrznej sieci) lub nic.
  • Dobra zapora ogniowa może ograniczać szybkość, łagodząc niektóre ataki DOS. NAT, wciąż wszystko albo nic.
  • Prawdopodobnie inne fajne rzeczy, ponieważ od jakiegoś czasu nie nadążałem za fajnymi funkcjami zapory.

Tak więc nadal potrzebujesz zapór ogniowych na wszystkich komputerach wewnętrznych, ponieważ jeśli coś zostanie naruszone, może przejąć wszystko inne w twojej sieci. Pamiętaj, że terminy takie jak robaki, wirusy, trojany nie mają już większego znaczenia. Każde złośliwe oprogramowanie może pobrać dużą ładowność, a następnie użyć wielu wektorów ataku w sieci. Exploity IE zero day mogą zagrozić jednemu komputerowi w sieci i zniszczyć wszystko.

Chodzi o to, że zapewnia podzbiór bezpieczeństwa w określonym kierunku, ale nie oznacza to, że możesz być mniej bezpieczny w czymkolwiek innym. Nadal musisz stosować najlepsze praktyki dotyczące wszystkiego innego, więc większość ludzi twierdzi, że nie daje to żadnego bezpieczeństwa, co jest mylące, ponieważ zapewnia pewne.

Rich Homolka
źródło
Zgadzam się, że NAT nie jest zaporą ogniową, ale uważam, że bardzo trudno byłoby znaleźć urządzenie, które jest w stanie NAT i nie jest w stanie przeprowadzić filtrowania pakietów L3, jeśli masz dobry poziom dostępu do jądra. Prawie każde urządzenie wykonujące NAT w dzisiejszych czasach robi to w ramach stanowego filtru pakietów (tj. Zapory ogniowej).
Zoredache
5

Przede wszystkim NAT jest rozwiązaniem problemu niedoboru IPv4. Dodatkową korzyścią jest ograniczenie dostępu do wewnętrznych maszyn, które zapewniają funkcję podobną do zapory.

Wszystkie routery NAT, których używałem (tylko do użytku domowego), mają również wbudowaną zaporę ogniową. Jeśli zdecydujesz się nie używać NAT, nadal potrzebujesz zapory ogniowej, ponieważ wszystkie twoje wewnętrzne maszyny są narażone bez niej.

Chris Nava
źródło
3

NAT nie jest funkcją bezpieczeństwa.

Aby to udowodnić, wizualizuj router NAT bez zapory. Każdy port zewnętrzny używany przez maszynę wewnętrzną jest po prostu pozostawiony otwarty.

Taka konfiguracja NAT nie zapewni żadnego bezpieczeństwa, ponieważ każdy z zewnątrz może po prostu połączyć się z portami wewnętrznymi przez ostatni użyty port zewnętrzny.

W rzeczywistości protokół UDP jest już tak zaimplementowany, ponieważ brama NAT nie ma połączenia do śledzenia. Okłamałem trochę, ponieważ UDP ogranicza się do odbioru z ostatniego adresu IP, który został wysłany. Ale aby przestraszyć wszystkich, w czasach, gdy NAT był nowy, niektórzy dostawcy nie zrozumieli tego poprawnie, a porty UDP były otwarte na świat.

Tak więc to, co zapewnia rzeczywiste bezpieczeństwo w bramie NAT, to nie NAT, ale zapora stanowa .

Komentarze stwierdzające, że się mylę, ciągle mylą zaporę z operacją NAT. Oczywiście nigdy nie grali ze starszym routerem (z 1998 roku), który po prostu przypisywał mapowanie portów na podstawie wyzwalacza pakietów. Routery te nie miały śledzenie stanu i nie firewall, ale oni byli realizacji NAT. Bez bezpieczeństwa. O to mi chodzi.

Zan Lynx
źródło
Będą mogli połączyć się tylko z portami routera. Z wyjątkiem wpisów NAT dla połączeń przychodzących, nie ma routingu do serwerów wewnętrznych.
BillThor 26.01.11
@BillThor: Nie. Myślisz o zaporze ogniowej. Jak myślisz, dlaczego czyste pole NAT nie kierowałoby się do wewnętrznych serwerów?
Zan Lynx,
Brak połączenia dla bramki NAT do śledzenia . To stwierdzenie jest bardzo błędne. NAT działa szczególnie, ponieważ śledzenie stanowe jest wykonywane. Nie można mieć tłumaczenia adresu portu bez stanu połączenia śledzenia. Translacje TCP NAT są łatwe do śledzenia, ponieważ pakiet SYN, a FIN oznacza początek i koniec połączenia. Po krótkim okresie bezczynności tłumaczenia UDP szybko tracą ważność.
Zoredache
1
@Zoredache: Naprawdę się mylisz. NAT nie wymaga śledzenia stanu. Wczesne wersje NAT przypisywały port przychodzący na podstawie ruchu wychodzącego i po prostu utrzymywały to powiązanie, aż do przekroczenia limitu czasu. To przypisanie portu również nie musiało filtrować przychodzących źródłowych adresów IP, ale akceptowało wszelki przychodzący ruch i kierowało go do sieci wewnętrznej. Dlaczego ludzie nadal mnie za to głosują, nie wiem.
Zan Lynx
2

Ten temat jest naprawdę interesujący - dziękuję, że pytasz Neth.

Oto moja myśl - NAT jako funkcja bezpieczeństwa jest naprawdę styczną korzyścią. Jego głównym celem jest współdzielenie jednego adresu IP przez wiele systemów. Są sytuacje, gdy kupujesz tańszy Internet Comcast, podają tylko jeden statyczny adres IP. Oznacza to, że wiele systemów jest jednocześnie w trybie online, router musi zarządzać nimi za pośrednictwem NAT.

Doceniam obawy związane z bezpieczeństwem, ale wszyscy powyżej mają rację - bezpieczeństwo opiera się na twojej zaporze ogniowej, a nie na konfiguracji NAT.

Istnieją interesujące / fajne opcje, aby sprawdzić, czy bezpieczeństwo jest dla Ciebie.

1) Najpierw zapoznaj się z podstawami - sprawdź router pod kątem ustawień zapory. Jeśli nie ma nic wartościowego, zrewiduj go i sprawdź, czy możesz sflashować go za pomocą DD-WRT (open source i zły system operacyjny routera $$).

2) Wyodrębnij swój adres IP poprzez (a) Uruchamianie czegokolwiek prywatnego na maszynie wirtualnej w twoim systemie (b) przy użyciu serwera proxy lub usługi, takiej jak dodatek Cocoon dla FF (c) Instalowanie Tora.

Tego rodzaju myśl może trwać przez jakiś czas, więc na razie zostawiam ją tutaj. Godspeed w ochronie siebie online.

mbb
źródło
0

To jest dość subiektywne;)

Moje dwa centy: Tak, NAT zwiększa bezpieczeństwo, ponieważ działa jako częściowa zapora ogniowa, która jest dostarczana „za darmo”. Ale już mówisz mi o tym: to po prostu wymaga prawdziwej zapory ogniowej. Ale to nie znaczy, że muszą to być zapory na pulpicie - wiele ruterów IPv4 na rynku jest już wyposażonych w zaporę na NAT.

Podsumowując: jeśli na routerze znajduje się funkcjonalna, odpowiednio skonfigurowana zapora sieciowa, komputery w sieci IPv6 bez NAT będą nadal miały tyle portów otwartych na świat, jak w przypadku IPv4 (brak), a zamiast portów przekierowujących, robią wyjątki od zapory ogniowej.

Tobias Plutat
źródło