O NAT fornece segurança?

12

Estou acompanhando discussões sobre a transição IPv4-> IPv6, e o IPv6 não parece gostar de NAT.

Sempre achei que o NAT era útil na v4 por alguma segurança. Sei que realmente não oculta os computadores, mas os torna mais difíceis de acessar, certamente facilita a limitação do acesso às portas nos computadores por trás do NAT Porta de entrada.

O argumento do IPv6 é que ele não fornece segurança, que firewalls e roteadores de gateway reais devem ser usados. Não gosto da ideia de toda a minha rede doméstica ser exposta na internet.

Então, isso é uma coisa boa ou ruim?

Neth
fonte
6
Eu não diria que a tradução de endereços de rede é principalmente sobre segurança. Trata-se de permitir que você tenha um único endereço IP externo, que pode ser traduzido internamente para uma rede inteira, em seu próprio intervalo de IPs e sub-redes. Certamente isso traz benefícios, mas eu vejo isso mais como uma "correção" para a escassez de IPv4.
Além do fato de que praticamente tudo no NAT tem algo como firewall, eles são bem parecidos. O NAT geralmente (IIUC) descarta conexões a uma porta que não foi aberta para envio e, portanto, está tornando você mais seguro dessa maneira.
tobylane
1
ESPERA, isso significa que todos os computadores da sua rede receberão um IPV6 público? Quero dizer, temos IPV6s suficientes para fazer isso, então ... As pessoas simplesmente obtêm um intervalo de IPV6 com seu pacote de internet? Além disso, se isso for verdade, oferece aos ISPs a possibilidade de limitar o número de computadores que você pode ter na sua rede quando o roteador não exibir explicitamente o NAT. Eu certamente espero que sim. Eu provavelmente interpretei mal.
sinni800
1
Veja estas perguntas em serverfault para obter respostas mais tecnicamente detalhadas. serverfault.com/questions/63704/nat-as-a-firewall serverfault.com/questions/184524/…
Zoredache
Não. Consulte youtube.com/watch?v=v26BAlfWBm8
Restabeleça Monica - M. Schröder

Respostas:

6

O NAT permite um certo tipo de segurança, pois as pessoas fora da sua rede não podem iniciar conexões com o interior da sua rede. Isso reduz os worms e outras classes de malware. Isso ajuda alguns.

Coisas que não ajudam:

  • Outro malware do lado de fora. Vírus, dirija por seqüestros de navegador, cavalos de Troia.
  • Qualquer ataque por dentro. Se algum computador estiver comprometido internamente, ele terá rédea livre em outros computadores.

É não um firewall.

  • Os firewalls podem bloquear o tráfego nas duas direções. Isso pode ajudar a impedir que o malware se conecte ao controle de computadores ou faça o download de novo código. Mas isso precisa ser configurado.
  • Os firewalls podem ser configurados para registrar o que eles bloqueiam, o NAT não está bloqueando nada, nada para registrar.
  • Os firewalls podem bloquear endereços IP específicos de atacar sua rede. O NAT é praticamente tudo (você configura o encaminhamento de porta para um servidor na sua rede interna) ou nada.
  • Um bom firewall pode classificar o limite, mitigando alguns ataques do DOS. NAT, ainda tudo ou nada.
  • Provavelmente outras coisas legais, já que eu não acompanho os recursos legais do firewall há algum tempo.

Portanto, você ainda precisa de firewalls em todos os computadores internos, pois, se algo estiver comprometido, ele poderá assumir o controle de qualquer outra coisa na sua rede. Lembre-se de que termos como worms, vírus, cavalos de Troia não significam mais muito. Qualquer malware pode baixar uma grande carga útil e, em seguida, usar vários vetores de ataque dentro da sua rede. As explorações de dia zero do IE podem comprometer um computador na sua rede e derrubar tudo.

Portanto, o ponto é que ele fornece um subconjunto de segurança em uma direção específica, mas isso não significa que você possa ter menos segurança sobre qualquer outra coisa. Você ainda precisa praticar as melhores práticas sobre todo o resto, para que a maioria das pessoas diga que não oferece segurança, o que é confuso porque fornece algumas.

Rich Homolka
fonte
Concordo que o NAT não é um firewall, mas acredito que seria muito difícil encontrar um dispositivo que seja capaz de NAT e que não seja capaz de fazer a filtragem de pacotes L3 se você tivesse um bom nível de acesso ao kernel. Quase todos os dispositivos que executam NAT atualmente fazem isso como parte do filtro de pacotes com estado (ou seja, firewall).
Zoredache
5

Principalmente, o NAT é uma correção para o problema de falta de IPv4. Como um benefício secundário, limita o acesso a máquinas internas, que fornecem uma função semelhante a firewall.

Todos os roteadores NAT que usei (apenas para uso doméstico) também possuem um firewall embutido. Se você optar por não usar o NAT, ainda precisará de um firewall, porque todas as suas máquinas internas serão expostas sem um.

Chris Nava
fonte
3

NAT não é um recurso de segurança.

Para provar isso, visualize um roteador NAT sem um firewall. Toda porta externa usada por uma máquina interna é simplesmente deixada aberta.

Uma configuração de NAT como essa não forneceria segurança, pois qualquer pessoa externa poderia simplesmente conectar-se às suas portas internas através da última porta externa usada.

Por uma questão de fato, o UDP já está implementado assim, porque não há conexão para o gateway NAT rastrear. Ok, menti um pouco porque o UDP está limitado a receber do último IP enviado. Mas para assustar a todos, quando o NAT era novo, alguns fornecedores não entendiam isso direito e as portas UDP estavam abertas ao mundo.

Então, o que fornece a segurança real em um gateway NAT é não o NAT, mas é o firewall stateful .

Os comentários afirmando que estou errado continuam confundindo o firewall com a operação NAT. Obviamente, eles nunca jogaram com um roteador mais antigo (1998'ish) que simplesmente atribuiu o mapeamento de portas com base em um gatilho de pacote. Esses roteadores não tinham rastreamento de estado nem firewall, mas estavam implementando o NAT. Sem segurança. Qual é o meu ponto.

Zan Lynx
fonte
Eles só poderiam se conectar às portas do roteador. Excluindo entradas NAT para conexões de entrada, não há roteamento para servidores internos.
BillThor
@ BillThor: Não. Você está pensando no firewall. Por que você acha que uma caixa NAT pura não seria roteada para servidores internos?
Zan Lynx
Nenhuma conexão para o gateway NAT rastrear . Esta afirmação está extremamente errada. O NAT funciona especificamente porque o rastreamento com estado é feito. Você não pode ter a conversão de endereço de porta sem um estado de conexão de rastreamento. As traduções TCP NAT são fáceis de rastrear, pois um pacote SYN e FIN marcam o início e o fim de uma conexão. As traduções UDP são atingidas rapidamente após um curto período de inatividade.
Zoredache
1
@ Zoredache: Você está realmente errado. NAT faz não requer rastreamento de estado. As versões anteriores do NAT designavam uma porta de entrada com base no tráfego de saída e simplesmente mantinham essa associação até atingir o tempo limite. Essa atribuição de porta também não precisava filtrar os IPs de origem recebidos, mas aceitava qualquer tráfego recebido e o encaminhava para a rede interna. Por que as pessoas continuam me votando para isso, eu não sei.
Zan Lynx
2

Este tópico é realmente interessante - obrigado por perguntar a Neth.

Aqui está o meu pensamento - o NAT ser um recurso de segurança é realmente um benefício tangencial. Seu principal objetivo é compartilhar um único IP entre vários sistemas. Há situações em que quando você compra a Internet da Comcast mais barata, eles fornecem apenas um único endereço IP estático. Isso significa ter vários sistemas on-line simultaneamente, seu roteador precisa gerenciá-los através do NAT.

Aprecio o medo da segurança, mas todos os que estão acima estão certos - a segurança é baseada no seu firewall, não na sua configuração NAT.

Existem opções interessantes / interessantes para analisar se você gosta de segurança.

1) Faça o básico primeiro - verifique se há configurações de firewall no seu roteador. Se não tiver nada que valha a pena, pesquise no Google e veja se é possível atualizá-lo com DD-WRT (código aberto e sistema operacional com roteador $$ incorreto).

2) Abstraia seu endereço IP através de (a) Executando qualquer coisa privada em uma máquina virtual no sistema (b) usando um servidor proxy ou serviço como o complemento Cocoon para FF (c) Instalando o Tor.

Esse tipo de pensamento pode continuar por um tempo, então deixarei aqui por enquanto. Godspeed em se proteger online.

mbb
fonte
0

Isso é bastante subjetivo;)

Meus dois centavos: Sim, o NAT aumenta a segurança, pois atua como um firewall parcial que vem "de graça". Mas você já está fazendo o meu ponto: isso apenas torna necessário um firewall real. Mas isso não significa que deve ser desktop firewalls de - muitos roteadores IPv4 comuns já vêm com um firewall em cima do NAT.

Para resumir tudo: se houver um firewall funcional e configurado corretamente no roteador, os computadores em uma rede IPv6 sem NAT ainda terão tantas portas abertas para o mundo quanto o IPv4 (nenhuma) e, em vez de encaminhar portas, você está fazendo exceções de firewall.

Tobias Plutat
fonte