Обеспечивает ли NAT безопасность?

Я следую дискуссиям о переходе IPv4-> IPv6, и IPv6, похоже, совсем не нравится NAT.

Я всегда думал, что NAT был полезен в v4 для некоторой безопасности, я знаю, что он действительно не скрывает компьютеры, но это затрудняет их работу, и, конечно же, это упрощает ограничение доступа к портам на компьютерах, расположенных за NAT шлюз.

  • Как удалить ограничение использования из файла PDF?
  • Как узнать, взломан ли / Debian?
  • Отслеживание информации о подключении HTTPS
  • Почему проверка подлинности SSH лучше, чем проверка пароля?
  • Как я могу предотвратить копирование файлов в моем USB-накопителе?
  • Скопируйте флешку
  • Конкуренция IPv6 заключается в том, что она не обеспечивает безопасность, поэтому вместо этого должны использоваться настоящие брандмауэры и маршрутизаторы. Мне не нравится идея, что вся моя домашняя сеть разоблачена в Интернете.

    Так, это хорошая или плохая вещь?

  • Отладка маршрутизации IPv6
  • Почему я получаю «General Failure» при проверке имени хоста на узле Win 7 в сети?
  • Почему в IPv6-адресе есть знак процента «%»?
  • Как я могу безопасно исследовать USB-накопитель, обнаруженный на стоянке?
  • Pinging собственной машины возвращает IPv6-адрес вместо IPv4
  • Дроссельная скорость загрузки нового маршрутизатора с Comcast (ipv6 vs ipv4)
  • 5 Solutions collect form web for “Обеспечивает ли NAT безопасность?”

    NAT допускает определенный тип безопасности, поскольку люди за пределами вашей сети не могут инициировать подключения к внутренней сети. Это сокращает количество червей и других классов вредоносных программ. Это помогает некоторым.

    Вещи это не помогают:

    • Другие вредоносные программы извне. Вирусы, диск с помощью браузеров, троянов.
    • Любая атака изнутри. Если какой-либо компьютер скомпрометирован внутри, они имеют свободу действий на других компьютерах.

    Это не брандмауэр.

    • Брандмауэры могут блокировать трафик в обоих направлениях. Это может помочь блокировать вредоносное ПО при подключении к управляющим компьютерам или загрузке нового кода. Но это нужно настроить.
    • Брандмауэры могут быть сконфигурированы для регистрации того, что они блокируют, NAT не блокирует ничего, ничего не записывать.
    • Брандмауэры могут блокировать определенные IP-адреса от атаки вашей сети. NAT – это почти все (вы настраиваете перенаправление портов на сервер в своей внутренней сети) или ничего.
    • Хороший брандмауэр может оценить лимит, смягчая некоторые атаки DOS. NAT, все равно или ничего.
    • Наверное, другие интересные вещи, так как я не поддерживал брандмауэры.

    Таким образом, вам все равно нужны брандмауэры на всех внутренних компьютерах, потому что, если что-то скомпрометировано, оно может взять на себя что-либо еще в вашей сети. Помните, что такие термины, как черви, вирусы, трояны больше не означают. Любое вредоносное ПО может загрузить большую полезную нагрузку, а затем использовать несколько векторов атаки внутри вашей сети. Неожиданные эксплойты IE могут скомпрометировать один компьютер в вашей сети и уничтожить все это.

    Таким образом, дело в том, что оно обеспечивает подмножество безопасности в определенном направлении, но это не значит, что вы можете быть менее безопасным в отношении чего-либо еще. Вам все равно нужно делать лучшие практики обо всем остальном, так что большинство людей говорят, что это не дает никакой безопасности, что сбивает с толку, потому что это дает некоторые.

    Прежде всего NAT – это исправление проблемы нехватки IPv4. В качестве побочного преимущества он ограничивает доступ к внутренним машинам, который обеспечивает функцию, подобную брандмауэру.

    Все маршрутизаторы NAT, которые я использовал (только для домашнего использования), также имеют встроенный брандмауэр. Если вы решите не использовать NAT, вам по-прежнему нужен брандмауэр, потому что все ваши внутренние компьютеры разоблачены без него.

    Эта тема действительно интересная – спасибо за то, что вы спросили Нета.

    Вот моя мысль: NAT, являющийся защитой, действительно является тангенциальным преимуществом. Основной целью является совместное использование одного IP-адреса в нескольких системах. Бывают ситуации, когда вы покупаете дешевый интернет Comcast, они дают только один статический IP-адрес. Это означает одновременное использование нескольких систем онлайн, ваш маршрутизатор должен управлять ими через NAT.

    Я ценю страх перед безопасностью, но все выше правильно – безопасность основана на вашем брандмауэре, а не на вашей настройке NAT.

    Есть интересные / интересные варианты, чтобы посмотреть, безопасно ли ваше дело.

    1) Сначала выполните основные действия – проверьте маршрутизатор на наличие настроек брандмауэра. Если у него нет ничего полезного, зайдите в google и посмотрите, можете ли вы его запустить с помощью DD-WRT (с открытым исходным кодом и с плохой сетевой маршрутизатор $$).

    2) Аннотация вашего IP-адреса с помощью (a) Запуск чего-либо частного в виртуальной машине в вашей системе (б) с использованием прокси-сервера или службы, например, надстройка Cocoon для FF (c) Установка Tor.

    Такая мысль может продолжаться некоторое время, поэтому я оставлю ее сейчас. Godspeed в защите себя в Интернете.

    NAT не является функцией безопасности.

    Чтобы доказать это самому себе, визуализируйте NAT-маршрутизатор без брандмауэра. Каждый внешний порт, который использовался внутренней машиной, просто оставлен открытым.

    Настройка NAT, подобная этому, не обеспечивала бы безопасности, потому что кто-либо извне мог просто подключиться к вашим внутренним портам через последний внешний порт, который вы использовали.

    На самом деле UDP уже реализован так, потому что для NAT-шлюза нет связи для отслеживания. Хорошо, я немного солгал, потому что UDP ограничивается получением от последнего IP-адреса, который был отправлен. Но чтобы напугать всех, когда NAT был новым, некоторые продавцы не поняли этого, и порты UDP были открыты для всего мира.

    Таким образом, то, что обеспечивает фактическую безопасность шлюза NAT, – это не NAT, а брандмауэр с состоянием .

    Комментарии, утверждающие, что я ошибаюсь, путают брандмауэр с работой NAT. Они, очевидно, никогда не играли со старым маршрутизатором (1998'ish), который просто назначал сопоставление портов на основе триггера пакета. Эти маршрутизаторы не отслеживали состояние и не использовали брандмауэр, но они реализовали NAT. Без безопасности. Это моя точка зрения.

    Это в значительной степени субъективно;)

    Мои два цента: Да, NAT повышает безопасность, поскольку он действует как частичный брандмауэр, который приходит «бесплатно». Но вы уже делаете мой вопрос: это просто делает реальный брандмауэр необходимым. Но это не значит, что это должны быть настольные брандмауэры. Многие маршрутизаторы для трафика IPv4 уже поставляются с брандмауэром поверх NAT.

    Подводя итог: если на маршрутизаторе есть функциональный, правильно настроенный брандмауэр, компьютеры в сети IPv6 без NAT будут по-прежнему иметь столько портов, открытых для мира, как это было с IPv4 (none), а вместо пересылки портов вы 'Сделать исключения брандмауэра.

    Давайте будем гением компьютера.