NAT fornisce sicurezza?

12

Sto seguendo le discussioni sulla transizione IPv4-> IPv6 e IPv6 non sembra affatto amare il NAT.

Ho sempre pensato che NAT fosse utile in v4 per un po 'di sicurezza, so che non nasconde davvero i computer ma li rende più difficili da raggiungere, certamente rende facile limitare l'accesso alle porte sui computer dietro il NAT gateway.

La tesi di IPv6 è che non fornisce sicurezza, che invece dovrebbero essere utilizzati firewall e router gateway reali. Non mi piace l'idea che tutta la mia rete domestica sia esposta su Internet.

Quindi, è una cosa buona o cattiva?

security  ipv6  nat  ipv4 
Neth
fonte
6
Non direi che Network Address Translation riguarda principalmente la sicurezza. Si tratta di consentire di disporre di un unico indirizzo IP esterno, che può tradurre internamente in un'intera rete, sulla propria gamma di IP e sottoreti. Certo che ha dei vantaggi, ma lo vedo più come una "soluzione" alla carenza di IPv4.
A parte il fatto che praticamente tutto con NAT ha qualcosa di simile a un firewall, sono abbastanza simili. NAT in genere (IIUC) rilascia connessioni a una porta che non ha aperto per l'invio, e quindi ti rende più sicuro in quel modo.
tobylane,
1
ASPETTA, significa che ogni computer della tua rete riceverà un IPV6 pubblico? Voglio dire, abbiamo abbastanza IPV6 per farlo, quindi ... Le persone ottengono solo un intervallo IPV6 con il loro pacchetto Internet? Anche se questo è vero, ciò offre agli ISP la possibilità di limitare il numero di computer che è possibile avere nella propria rete quando il router non espone esplicitamente NAT. Lo spero proprio. Ho letto male probabilmente.
sinni800,
1
Vedi queste domande su serverfault per risposte più tecnicamente dettagliate. serverfault.com/questions/63704/nat-as-a-firewall serverfault.com/questions/184524/…
Zoredache,
Ripristina Monica - M. Schröder,

Risposte:

6

NAT consente un certo tipo di sicurezza, in quanto le persone al di fuori della rete non possono avviare connessioni all'interno della rete. Ciò riduce i worm e altre classi di malware. Questo aiuta alcuni.

Cose che non aiutano:

  • Altro malware dall'esterno. Virus, guidati da browser hijack, trojan.
  • Qualsiasi attacco dall'interno. Se un computer viene compromesso internamente, ha libero accesso agli altri computer.

E ' non è un firewall.

  • I firewall possono bloccare il traffico in entrambe le direzioni. Questo può aiutare a bloccare la connessione di malware per controllare i computer o scaricare nuovo codice. Ma questo deve essere configurato.
  • I firewall possono essere configurati per registrare ciò che bloccano, NAT non blocca nulla, nulla da registrare.
  • I firewall possono bloccare specifici indirizzi IP dall'attacco alla rete. NAT è praticamente tutto (si configura il port forwarding su un server nella propria rete interna) o niente.
  • Un buon firewall può valutare il limite, mitigando alcuni attacchi DOS. NAT, ancora tutto o niente.
  • Probabilmente altre cose interessanti, dal momento che non tengo il passo con le funzioni interessanti del firewall da un po 'di tempo.

Quindi, hai ancora bisogno di firewall su tutti i computer interni, perché se qualcosa è compromesso, può assumere qualsiasi altra cosa nella tua rete. Ricorda che termini come worm, virus, trojan non significano più molto. Qualsiasi malware può scaricare un grosso carico utile e quindi utilizzare più vettori di attacco all'interno della rete. Gli exploit zero day di IE possono compromettere un computer sulla tua rete e distruggere tutto.

Quindi, il punto è che fornisce un sottoinsieme di sicurezza in una direzione specifica, ma non significa che puoi essere meno sicuro di qualsiasi altra cosa. Devi ancora fare le migliori pratiche su tutto il resto, quindi la maggior parte delle persone afferma che non fornisce alcuna sicurezza, il che è fonte di confusione perché ne fornisce alcune.

Rich Homolka
fonte
Concordo sul fatto che NAT non è un firewall, ma credo che sarebbe molto difficile trovare un dispositivo in grado di NAT e non in grado di eseguire il filtraggio dei pacchetti L3 se si avesse un buon livello di accesso al kernel. Quasi tutti i dispositivi che eseguono NAT in questi giorni lo fanno come parte del filtro dei pacchetti con stato (ovvero firewall).
Zoredache,
5

In primo luogo, NAT è una soluzione per il problema della carenza di IPv4. Come vantaggio secondario limita l'accesso alle macchine interne che fornisce una funzione simile a un firewall.

Tutti i router NAT che ho usato (solo per uso domestico) hanno anche un firewall incorporato. Se decidi di non NAT hai ancora bisogno di un firewall perché tutte le tue macchine interne sono esposte senza uno.

Chris Nava
fonte
3

NAT non è una funzione di sicurezza.

Per dimostrarlo a te stesso, visualizza un router NAT senza firewall. Ogni porta esterna utilizzata da una macchina interna viene semplicemente lasciata aperta.

Una configurazione NAT come questa non fornirebbe alcuna sicurezza perché chiunque all'esterno potesse semplicemente connettersi alle porte interne attraverso l'ultima porta esterna che hai usato.

È un dato di fatto, UDP è già implementato in questo modo perché non c'è alcuna connessione per il gateway NAT da tracciare. Ok, ho mentito un po 'perché l'UDP è limitato alla ricezione dall'ultimo IP a cui è stato inviato. Ma per spaventare tutti, quando NAT era nuovo, alcuni venditori non riuscivano a farlo bene e le porte UDP erano aperte al mondo.

Quindi ciò che fornisce la sicurezza effettiva in un gateway NAT non è il NAT ma è il firewall stateful .

I commenti che affermano che mi sbaglio continuano a confondere il firewall con l'operazione NAT. Ovviamente non hanno mai giocato con un router più vecchio (1998) che semplicemente assegnava il mapping delle porte basato su un trigger di pacchetto. Questi router non avevano alcun tracciamento dello stato e nessun firewall, eppure stavano implementando NAT. Senza sicurezza. Qual è il mio punto.

Zan Lynx
fonte
Sarebbero in grado di connettersi solo alle porte sul router. Escludendo le voci NAT per le connessioni in entrata, non vi è alcun routing verso i server interni.
BillThor,
@BillThor: No. Stai pensando al firewall. Perché pensi che un NAT box puro non verrebbe indirizzato ai server interni?
Zan Lynx,
Nessuna connessione per il gateway NAT da tracciare . Questa affermazione è estremamente sbagliata. NAT funziona specificamente perché viene eseguito il tracciamento con stato. Non è possibile avere la traduzione dell'indirizzo della porta senza uno stato della connessione di tracciamento. Le traduzioni NAT NAT sono facili da tracciare da un SYN e il pacchetto FIN segna l'inizio e la fine di una connessione. Le traduzioni UDP scadono rapidamente dopo un breve periodo di inattività.
Zoredache,
1
@Zoredache: in realtà hai torto. NAT non richiede il monitoraggio dello stato. Le prime versioni di NAT hanno assegnato una porta in entrata in base al traffico in uscita e hanno semplicemente mantenuto tale associazione fino al raggiungimento di un timeout. Anche questa assegnazione di porte non aveva bisogno di filtrare gli IP di origine in entrata, ma avrebbe accettato qualsiasi traffico in entrata e instradato alla rete interna. Perché la gente continua a sottovalutarmi per questo, non lo so.
Zan Lynx,
2

Questo argomento è davvero interessante - grazie per averlo chiesto a Neth.

Ecco il mio pensiero: NAT essendo una funzionalità di sicurezza è davvero un vantaggio tangenziale. Lo scopo principale è quello di condividere un singolo IP su più sistemi. Ci sono situazioni come quando acquisti Internet Comcast più economico, ti danno solo un singolo indirizzo IP statico. Ciò significa che per avere più sistemi online contemporaneamente, il tuo router deve gestirli tramite NAT.

Apprezzo il timore per la sicurezza, ma tutti quelli sopra hanno ragione: la sicurezza si basa sul firewall, non sulla configurazione NAT.

Ci sono opzioni interessanti / interessanti da esaminare se la sicurezza è la tua passione.

1) Esegui prima le basi: controlla le impostazioni del firewall per il tuo router. Se non ha nulla di utile, cercalo su Google e vedi se riesci a lampeggiarlo con DD-WRT (open source e un sistema operativo router non funzionante $$).

2) Estrarre il tuo indirizzo IP attraverso (a) Eseguire qualsiasi cosa privata all'interno di una macchina virtuale sul tuo sistema (b) utilizzando un server proxy o un servizio come il componente aggiuntivo Cocoon per FF (c) Installazione di Tor.

Questo tipo di pensiero può andare avanti per un po ', quindi per ora lo lascerò qui. Godspeed nel proteggerti online.

MBB
fonte
0

Questo è praticamente soggettivo;)

I miei due centesimi: Sì, NAT aumenta la sicurezza in quanto agisce come un firewall parziale che viene "gratuitamente". Ma stai già facendo il mio punto: questo rende necessario un vero firewall. Ma ciò non significa che debba essere un firewall desktop : molti router IPv4 di materie prime dispongono già di un firewall su NAT.

Riassumendo: se sul router è presente un firewall funzionale e correttamente configurato, i computer su una rete IPv6 senza NAT avranno comunque tutte le porte aperte al mondo di quanto non lo fosse con IPv4 (nessuna) e invece di inoltrare le porte, stai facendo eccezioni firewall.

Tobias Plutat
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.