O NAT fornece segurança?

12

Estou acompanhando as discussões sobre a transição IPv4 e IPv6 e o IPv6 não parece gostar de NAT.

Eu sempre achei que o NAT era útil na v4 para alguma segurança, eu sei que ele realmente não esconde os computadores, mas os torna mais difíceis de acessar, certamente torna mais fácil limitar o acesso a portas nos computadores atrás do gateway NAT.

A contenção do IPv6 é que ele não fornece segurança, que firewalls reais e roteadores de gateway devem ser usados. Não gosto da ideia de toda a minha rede doméstica ser exposta na internet.

Então, isso é bom ou ruim?

    
por Neth 25.01.2011 / 21:51

5 respostas

6

O NAT permite um certo tipo de segurança, pois pessoas fora da sua rede não podem iniciar conexões com o interior da sua rede. Isso reduz os worms e outras classes de malware. Isso ajuda alguns.

Coisas que não ajudam:

  • Outro malware de fora. Vírus, dirija por sequestros de navegador, trojans.
  • Qualquer ataque do lado de dentro. Se algum computador estiver comprometido internamente, ele terá liberdade sobre seus outros computadores.

não é um firewall.

  • Os firewalls podem bloquear o tráfego nas duas direções. Isso pode ajudar a impedir que malwares se conectem para controlar computadores ou fazer o download de um novo código. Mas isso precisa ser configurado.
  • Os firewalls podem ser configurados para registrar o que eles bloqueiam, o NAT não está bloqueando nada, nada para registrar.
  • Os firewalls podem impedir que endereços IP específicos ataquem sua rede. O NAT é praticamente tudo (você configura o encaminhamento de porta para um servidor na sua rede interna) ou nada.
  • Um bom firewall pode limitar o limite, mitigando alguns ataques do DOS. NAT, ainda tudo ou nada.
  • Provavelmente outras coisas legais, já que eu não acompanho os recursos legais do firewall há algum tempo.

Assim, você ainda precisa de firewalls em todos os computadores internos, porque, se algo estiver comprometido, pode assumir qualquer outra coisa na sua rede. Lembre-se de que termos como worms, vírus, trojans não significam muito mais. Qualquer malware pode baixar uma grande carga e usar vários vetores de ataque dentro de sua rede. As explorações do dia zero do IE podem comprometer um computador em sua rede e derrubar tudo.

Então, o ponto é, ele fornece um subconjunto de segurança em uma direção específica, mas isso não significa que você pode ser menos seguro sobre qualquer outra coisa. Você ainda precisa fazer as melhores práticas sobre todo o resto, então a maioria das pessoas diz que não dá segurança, o que é confuso, porque fornece algumas coisas.

    
por 25.01.2011 / 23:38
5

Principalmente, o NAT é uma correção para o problema da falta de IPv4. Como um benefício secundário, limita o acesso a máquinas internas que fornecem uma função semelhante a firewall.

Todos os roteadores NAT que eu usei (apenas para uso doméstico) têm também um firewall embutido. Se você decidir não NAT, ainda precisará de um firewall, pois todas as suas máquinas internas serão expostas sem um.

    
por 25.01.2011 / 22:26
3

NAT não é um recurso de segurança.

Para provar isso a si mesmo, visualize um roteador NAT sem um firewall. Toda porta externa usada por uma máquina interna é simplesmente deixada em aberto.

Uma configuração NAT como essa não forneceria segurança porque qualquer pessoa do lado de fora poderia se conectar às portas internas pela última porta externa usada.

Por uma questão de fato, o UDP já é implementado assim porque não há conexão para o gateway NAT rastrear. Ok, eu menti um pouco porque o UDP está limitado a receber do último IP que foi enviado. Mas, para assustar todo mundo, quando o NAT era novo, alguns fornecedores não acertavam e as portas UDP estavam abertas para o mundo.

Então, o que fornece a segurança real em um gateway NAT é não o NAT , mas é o firewall com estado .

Os comentários que afirmam que estou errado continuam confundindo o firewall com a operação NAT. Obviamente, eles nunca tocaram com um roteador mais antigo (1998'ish) que simplesmente atribuiu o mapeamento de porta com base em um gatilho de pacote. Esses roteadores não tinham rastreamento de estado nem firewall, mas estavam implementando o NAT. Sem segurança. Qual é o meu ponto.

    
por 26.01.2011 / 02:44
2

Este tópico é realmente interessante - obrigado por perguntar a Neth.

Aqui está o meu pensamento - NAT sendo um recurso de segurança é realmente um benefício tangencial. Seu principal objetivo é compartilhar um único IP em vários sistemas. Há situações como quando você compra a Internet Comcast mais barata, eles só lhe dão um único endereço IP estático. Isso significa ter vários sistemas online simultaneamente, o roteador precisa gerenciá-los através do NAT.

Agradeço o medo da segurança, mas todos acima estão certos - a segurança é baseada no seu firewall, não na sua configuração de NAT.

Existem interessantes / legais opções para investigar se a segurança é sua coisa.

1) Faça o básico primeiro - verifique o seu roteador para configurações de firewall. Se não tiver nada que valha a pena, pesquise no Google e veja se você pode exibi-lo com o DD-WRT (código-fonte aberto e sistema operacional ruim a $$ router).

2) Resumo seu endereço IP através de (a) Executar qualquer coisa privada dentro de uma máquina virtual em seu sistema (b) usando um servidor proxy ou serviço como o complemento Cocoon para FF (c) Instalando Tor.

Esse tipo de pensamento pode continuar por um tempo, então deixarei aqui por enquanto. Godspeed em se proteger online.

    
por 25.01.2011 / 23:11
0

Isso é bem subjetivo;)

Meus dois centavos: Sim, o NAT aumenta a segurança, pois atua como um firewall parcial que vem "de graça". Mas você já está fazendo o meu ponto: isso só faz um firewall real necessário. Mas isso não significa que deva ser um firewall desktop - muitos roteadores IPv4 já vêm com um firewall sobre o NAT.

Para resumir tudo: Se houver um firewall funcional e adequadamente configurado no roteador, os computadores em uma rede IPv6 sem NAT ainda terão tantas portas abertas para o mundo quanto eram com o IPv4 (nenhum) e, em vez de encaminhar portas, você está fazendo exceções de firewall.

    
por 25.01.2011 / 22:27