NAT ให้ความปลอดภัยหรือไม่

13

ฉันกำลังติดตามการสนทนาเกี่ยวกับการเปลี่ยน IPv4-> IPv6 และ IPv6 ดูเหมือนจะไม่ชอบ NAT เลย

ฉันคิดเสมอว่า NAT มีประโยชน์ใน v4 สำหรับความปลอดภัยบางอย่างฉันรู้ว่ามันไม่ได้ซ่อนคอมพิวเตอร์ แต่มันทำให้ยากต่อการเข้าถึงแน่นอนทำให้ง่ายต่อการ จำกัด การเข้าถึงพอร์ตบนคอมพิวเตอร์ที่อยู่ด้านหลัง NAT ประตู.

การช่วงชิง IPv6 คือมันไม่ได้ให้การรักษาความปลอดภัยควรใช้ไฟร์วอลล์จริงและเราเตอร์เกตเวย์แทน ฉันไม่ชอบความคิดเกี่ยวกับเครือข่ายในบ้านทั้งหมดของฉันที่ถูกเปิดเผยบนอินเทอร์เน็ต

ดังนั้นนี่คือสิ่งที่ดีหรือไม่ดี?

security  ipv6  nat  ipv4 
Neth
แหล่งที่มา
6
ฉันจะไม่พูดว่า Network Address Translation นั้นเกี่ยวกับความปลอดภัยเป็นหลัก มันเกี่ยวกับการให้คุณมีที่อยู่ IP ภายนอกเดียวซึ่งสามารถแปลภายในเครือข่ายทั้งหมดภายใน IP และซับเน็ตของตัวเอง แน่นอนว่ามีประโยชน์กับมัน แต่ฉันเห็นว่ามันเป็น "การแก้ไข" ต่อการขาดแคลน IPv4
นอกเหนือจากความจริงที่ว่าทุกอย่างที่มี NAT นั้นมีไฟร์วอลล์คล้ายกัน โดยทั่วไป NAT (IIUC) จะลดการเชื่อมต่อไปยังพอร์ตที่ไม่ได้เปิดให้ส่งออกดังนั้นจึงทำให้คุณปลอดภัยมากขึ้น
tobylane
1
WAIT นั่นหมายความว่าคอมพิวเตอร์ทุกเครื่องในเครือข่ายของคุณจะได้รับ IPV6 สาธารณะหรือไม่ ฉันหมายความว่าเรามี IPV6 เพียงพอที่จะทำเช่นนั้นดังนั้น ... ผู้คนเพิ่งได้รับช่วง IPV6 ด้วยแพ็คเกจอินเทอร์เน็ตของพวกเขาหรือไม่? นอกจากนี้หากเป็นเรื่องจริงที่ทำให้ ISP มีความเป็นไปได้ที่จะ จำกัด จำนวนคอมพิวเตอร์ที่คุณสามารถมีในเครือข่ายของคุณเมื่อเราเตอร์ไม่แสดง NAT อย่างชัดเจน ฉันหวังว่าอย่างนั้น ฉันอาจอ่านผิด
sinni800
1
ดูคำถามเหล่านี้ใน serverfault สำหรับคำตอบโดยละเอียดทางเทคนิคเพิ่มเติม serverfault.com/questions/63704/nat-as-a-firewall serverfault.com/questions/184524/…
Zoredache
ไม่ได้ดูyoutube.com/watch?v=v26BAlfWBm8
Reinstate Monica - M. Schröder

คำตอบ:

7

NAT อนุญาตให้มีการรักษาความปลอดภัยบางประเภทซึ่งคนที่อยู่นอกเครือข่ายของคุณไม่สามารถเริ่มการเชื่อมต่อกับภายในเครือข่ายของคุณได้ วิธีนี้จะช่วยลดเวิร์มและมัลแวร์ประเภทอื่น ๆ ซึ่งช่วยได้บ้าง

สิ่งที่มันไม่ช่วย:

  • มัลแวร์อื่น ๆ จากภายนอก ไวรัสขับรถโดยเบราว์เซอร์ hijacks โทรจัน
  • การโจมตีใด ๆ จากภายใน หากคอมพิวเตอร์เครื่องใดถูกบุกรุกภายในเครื่องคอมพิวเตอร์เหล่านั้นจะมีการเปิดใช้งานคอมพิวเตอร์เครื่องอื่น ๆ

มันไม่ใช่ไฟร์วอลล์

  • ไฟร์วอลล์สามารถบล็อกทราฟฟิกทั้งสองทิศทาง วิธีนี้จะช่วยป้องกันมัลแวร์ไม่ให้เชื่อมต่อกับคอมพิวเตอร์ควบคุมหรือดาวน์โหลดรหัสใหม่ แต่สิ่งนี้จะต้องมีการกำหนดค่า
  • ไฟร์วอลล์สามารถกำหนดค่าให้บันทึกสิ่งที่พวกเขาบล็อก NAT ไม่ได้ปิดกั้นอะไรเลยไม่มีอะไรเข้าสู่ระบบ
  • ไฟร์วอลล์สามารถบล็อกที่อยู่ IP ไม่ให้โจมตีเครือข่ายของคุณ NAT นั้นค่อนข้างจะทั้งหมด (คุณกำหนดค่าพอร์ตที่ส่งต่อไปยังเซิร์ฟเวอร์ในเน็ตภายในของคุณ) หรือไม่มีอะไรเลย
  • ไฟร์วอลล์ที่ดีสามารถ จำกัด อัตราลดการโจมตีของ DOS ได้ NAT ยังคงทั้งหมดหรือไม่มีอะไรเลย
  • สิ่งที่น่าสนใจอื่น ๆ น่าจะเป็นเพราะฉันไม่ได้ติดตามคุณสมบัติเจ๋ง ๆ ของไฟร์วอลล์มาระยะหนึ่งแล้ว

ดังนั้นคุณยังคงต้องการไฟร์วอลล์ในคอมพิวเตอร์ภายในทั้งหมดเพราะหากมีสิ่งใดที่ไม่ปลอดภัยก็สามารถเข้าควบคุมสิ่งอื่นในเครือข่ายของคุณได้ โปรดจำไว้ว่าเงื่อนไขเช่นเวิร์มไวรัสโทรจันไม่ได้มีความหมายอีกต่อไป มัลแวร์ใด ๆ สามารถดาวน์โหลดเพย์โหลดขนาดใหญ่จากนั้นใช้เวคเตอร์การโจมตีหลายครั้งภายในเครือข่ายของคุณ การหาช่องโหว่ที่ IE เป็นเวลาหนึ่งวันสามารถประนีประนอมคอมพิวเตอร์หนึ่งเครื่องบนเน็ตของคุณและจัดการทั้งหมด

ดังนั้นประเด็นคือมันให้ความปลอดภัยส่วนย่อยในทิศทางที่เฉพาะเจาะจง แต่ไม่ได้หมายความว่าคุณจะมีความปลอดภัยน้อยลงเกี่ยวกับสิ่งอื่น คุณยังต้องทำแนวปฏิบัติที่ดีที่สุดเกี่ยวกับทุกอย่างดังนั้นคนส่วนใหญ่บอกว่ามันไม่ได้ให้ความปลอดภัยใด ๆ ซึ่งทำให้สับสนเพราะมันมีบางอย่าง

รวย Homolka
แหล่งที่มา
ฉันยอมรับว่า NAT ไม่ใช่ไฟร์วอลล์ แต่ฉันเชื่อว่าคุณจะพบว่ามันยากมากที่จะค้นหาอุปกรณ์ที่สามารถใช้ NAT และไม่สามารถทำการกรองแพ็คเก็ต L3 ได้หากคุณมีการเข้าถึงเคอร์เนลระดับดี อุปกรณ์เกือบทุกเครื่องที่ทำงานกับ NAT ในปัจจุบันเป็นส่วนหนึ่งของตัวกรองแพ็คเก็ตที่มีประสิทธิภาพ (เช่นไฟร์วอลล์)
Zoredache
5

ในขั้นต้น NAT คือการแก้ไขปัญหาการขาดแคลน IPv4 ประโยชน์ด้านข้างจะ จำกัด การเข้าถึงเครื่องภายในซึ่งมีฟังก์ชั่นคล้ายไฟร์วอลล์

เราเตอร์ NAT ทั้งหมดที่ฉันใช้ (สำหรับใช้ในบ้านเท่านั้น) ยังมีไฟร์วอลล์ในตัวด้วยถ้าคุณตัดสินใจที่จะไม่ใช้ NAT คุณยังต้องใช้ไฟร์วอลล์เพราะเครื่องภายในทั้งหมดของคุณไม่มีการเปิดใช้

Chris Nava
แหล่งที่มา
3

NAT ไม่ใช่คุณสมบัติความปลอดภัย

เพื่อพิสูจน์ให้ตัวคุณเองเห็นภาพเราเตอร์ NAT โดยไม่ต้องใช้ไฟร์วอลล์ พอร์ตภายนอกทุกพอร์ตที่ใช้โดยเครื่องภายในจะเปิดทิ้งไว้

การตั้งค่า NAT แบบนี้จะไม่มีความปลอดภัยเพราะทุกคนที่อยู่ภายนอกสามารถเชื่อมต่อกับพอร์ตภายในของคุณผ่านพอร์ตภายนอกล่าสุดที่คุณใช้

ตามความเป็นจริงแล้ว UDP ได้ถูกนำไปใช้เช่นนั้นเนื่องจากไม่มีการเชื่อมต่อสำหรับเกตเวย์ NAT ที่จะติดตาม ตกลงฉันโกหกนิดหน่อยเพราะ UDP นั้น จำกัด การรับจาก IP ล่าสุดที่ถูกส่งไป แต่การที่จะทำให้ตกใจทุกคนกลับมาเมื่อ NAT เป็นของใหม่ผู้ขายบางคนไม่ได้รับสิทธินี้และ UDP พอร์ตได้เปิดให้โลก

ดังนั้นสิ่งที่ให้ความปลอดภัยที่แท้จริงในเกตเวย์ NAT ไม่ใช่ NATแต่เป็นไฟร์วอลล์ที่ไม่แน่นอน

ความคิดเห็นที่อ้างว่าฉันผิดทำให้สับสนไฟร์วอลล์กับการดำเนินการ NAT เห็นได้ชัดว่าพวกเขาไม่เคยเล่นกับเราเตอร์รุ่นเก่า (1998'ish) ที่กำหนดการแมปพอร์ตตามทริกเกอร์แพ็คเก็ต เราเตอร์เหล่านี้ไม่มีการติดตามสถานะและไม่มีไฟร์วอลล์ แต่พวกเขากำลังใช้ NAT ไม่มีความปลอดภัย จุดไหนของฉัน

แซนคม
แหล่งที่มา
พวกเขาจะสามารถเชื่อมต่อกับพอร์ตบนเราเตอร์เท่านั้น ยกเว้นรายการ NAT สำหรับการเชื่อมต่อขาเข้าไม่มีการกำหนดเส้นทางไปยังเซิร์ฟเวอร์ภายใน
BillThor
@BillThor: ไม่ คุณกำลังคิดถึงไฟร์วอลล์ ทำไมคุณคิดว่ากล่อง NAT บริสุทธิ์จะไม่ส่งไปยังเซิร์ฟเวอร์ภายใน
Zan Lynx
ไม่มีการเชื่อมต่อสำหรับเกตเวย์ NAT เพื่อติดตาม คำสั่งนี้ผิดมาก NAT ทำงานโดยเฉพาะเนื่องจากการติดตามสถานะเสร็จสิ้น คุณไม่สามารถแปลที่อยู่พอร์ตได้หากไม่มีสถานะการเชื่อมต่อการติดตาม การแปล TCP NAT นั้นง่ายต่อการติดตามเนื่องจากการแพ็คเก็ต SYN และ FIN เป็นการทำเครื่องหมายจุดเริ่มต้นและจุดสิ้นสุดของการเชื่อมต่อ การแปล UDP นั้นหมดเวลาอย่างรวดเร็วหลังจากไม่ได้ใช้งานในช่วงเวลาสั้น ๆ
Zoredache
1
@Zoredache: คุณผิดจริง ๆ NAT ไม่ต้องการการติดตามสถานะ NAT เวอร์ชันก่อนหน้าได้กำหนดพอร์ตที่เข้ามาตามทราฟฟิกขาออกและรักษาความสัมพันธ์นั้นไว้จนกว่าจะหมดเวลา การกำหนดพอร์ตนี้ไม่จำเป็นต้องกรอง IP ต้นทางที่เข้ามาเช่นกัน แต่จะยอมรับการรับส่งข้อมูลขาเข้าและกำหนดเส้นทางไปยังเครือข่ายภายใน ทำไมคนยังคงลงคะแนนฉันสำหรับเรื่องนี้ฉันไม่รู้
Zan Lynx
2

หัวข้อนี้น่าสนใจจริงๆ - ขอบคุณสำหรับการขอ Neth

นี่คือความคิดของฉัน - การเป็น NAT คุณลักษณะด้านความปลอดภัยเป็นประโยชน์อย่างยิ่ง วัตถุประสงค์หลักคือการแบ่งปัน IP เดียวในหลาย ๆ ระบบ มีสถานการณ์เช่นนี้เมื่อคุณซื้ออินเทอร์เน็ต Comcast ที่ถูกกว่าพวกเขาจะให้ที่อยู่ IP แบบคงที่เพียงครั้งเดียวเท่านั้น นั่นหมายถึงการมีหลายระบบออนไลน์พร้อมกันเราเตอร์ของคุณต้องจัดการผ่าน NAT

ฉันขอขอบคุณความกลัวด้านความปลอดภัย แต่ทุกคนข้างต้นถูกต้อง - ความปลอดภัยขึ้นอยู่กับไฟร์วอลล์ของคุณไม่ใช่การตั้งค่า NAT ของคุณ

มีตัวเลือกที่น่าสนใจ / เจ๋ง ๆ ที่จะดูว่าการรักษาความปลอดภัยเป็นเรื่องของคุณหรือไม่

1) ทำพื้นฐานก่อน - ตรวจสอบการตั้งค่าไฟร์วอลล์ของเราเตอร์ของคุณ หากไม่มีสิ่งใดที่คุ้มค่าให้ google it และดูว่าคุณสามารถแฟลชด้วย DD-WRT (โอเพนซอร์สหรือไม่และเรา $ $$ OS)

2) สรุปที่อยู่ IP ของคุณผ่าน (a) เรียกใช้สิ่งใด ๆ ส่วนตัวภายในเครื่องเสมือนบนระบบของคุณ (b) โดยใช้พร็อกซีเซิร์ฟเวอร์หรือบริการเช่น Cocoon add-on สำหรับ FF (c) การติดตั้ง Tor

ความคิดแบบนี้สามารถดำเนินต่อไปได้ระยะหนึ่งดังนั้นฉันจะทิ้งมันไว้ที่นี่ตอนนี้ Godspeed ในการปกป้องตัวเองออนไลน์

MBB
แหล่งที่มา
0

นี่เป็นทัศนะที่ค่อนข้างมาก;)

สองเซ็นต์ของฉัน: ใช่ NAT เพิ่มความปลอดภัยโดยที่มันทำหน้าที่เป็นไฟร์วอลล์บางส่วนที่มา "ฟรี" แต่คุณกำลังทำให้จุดของฉัน: นี่จะทำให้ไฟร์วอลล์จริงจำเป็น แต่นั่นไม่ได้หมายความว่าจะต้องเป็นไฟร์วอลล์เดสก์ท็อป - เราเตอร์สินค้าโภคภัณฑ์ IPv4 จำนวนมากมาพร้อมกับไฟร์วอลล์ที่อยู่ด้านบนของ NAT

หากต้องการสรุปทุกอย่าง: หากมีการทำงานที่มีการกำหนดค่าไฟร์วอลล์อย่างถูกต้องบนเราเตอร์คอมพิวเตอร์ในเครือข่าย IPv6 ที่ไม่มี NAT จะยังคงมีพอร์ตเปิดให้บริการมากมายทั่วโลกเหมือนกับ IPv4 (ไม่มี) และแทนที่จะส่งต่อพอร์ตคุณ กำลังทำข้อยกเว้นไฟร์วอลล์

โทเบียสพลูต
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.