Saya mengikuti diskusi tentang transisi IPv4-> IPv6, dan IPv6 sepertinya tidak menyukai NAT sama sekali.
Saya selalu berpikir bahwa NAT sangat membantu dalam v4 untuk beberapa keamanan, saya tahu itu tidak benar-benar menyembunyikan komputer tetapi membuat mereka lebih sulit untuk mencapai, tentu saja membuatnya mudah untuk membatasi akses ke port pada komputer di belakang NAT pintu gerbang.
Pendapat IPv6 adalah bahwa itu tidak memberikan keamanan, bahwa firewall dan gateway gateway yang sebenarnya harus digunakan sebagai gantinya. Saya tidak suka ide seluruh jaringan rumah saya terekspos di internet.
Jadi, apakah ini hal yang baik atau buruk?
Jawaban:
NAT memungkinkan jenis keamanan tertentu, di mana orang-orang di luar jaringan Anda tidak dapat memulai koneksi ke bagian dalam jaringan Anda. Ini mengurangi cacing dan kelas malware lainnya. Ini membantu beberapa orang.
Hal-hal yang tidak membantu:
Ini bukan firewall.
Jadi, Anda masih memerlukan firewall di semua komputer internal, karena jika ada sesuatu yang dikompromikan, itu dapat mengambil alih apa pun di jaringan Anda. Ingatlah bahwa istilah seperti worm, virus, trojan tidak berarti banyak lagi. Malware apa pun dapat mengunduh muatan besar dan kemudian menggunakan beberapa vektor serangan di dalam jaringan Anda. Eksploitasi nol hari IE dapat membahayakan satu komputer di internet Anda, dan mencatat semuanya.
Jadi, intinya adalah, itu memang memberikan bagian keamanan pada arah tertentu, tetapi itu tidak berarti Anda bisa kurang aman tentang hal lain. Anda masih perlu melakukan praktik terbaik tentang segala hal lain, jadi kebanyakan orang mengatakan itu tidak memberikan keamanan, yang membingungkan karena memang memberikan beberapa.
sumber
Terutama, NAT adalah perbaikan untuk masalah kekurangan IPv4. Sebagai manfaat samping itu membatasi akses ke mesin internal yang menyediakan fungsi seperti firewall.
Semua router NAT yang saya gunakan (hanya digunakan di rumah) juga memiliki firewall bawaan. Jika Anda memutuskan untuk tidak menggunakan NAT, Anda masih memerlukan firewall karena semua mesin internal Anda terbuka tanpa satu.
sumber
NAT bukan fitur keamanan.
Untuk membuktikannya pada diri sendiri, visualisasikan router NAT tanpa firewall. Setiap port eksternal yang digunakan oleh mesin internal dibiarkan terbuka.
Pengaturan NAT seperti ini tidak akan memberikan keamanan karena siapa pun di luar hanya dapat terhubung ke port internal Anda melalui port eksternal terakhir yang Anda gunakan.
Faktanya, UDP sudah diimplementasikan seperti itu karena tidak ada koneksi untuk dilacak oleh gateway NAT. Oke, saya berbohong sedikit karena UDP terbatas untuk menerima dari IP terakhir yang dikirim. Tetapi untuk menakut-nakuti orang, kembali ketika NAT baru beberapa vendor tidak mendapatkan hak ini dan port UDP yang terbuka untuk dunia.
Jadi yang menyediakan keamanan sebenarnya di gateway NAT bukanlah NAT tetapi firewall stateful .
Komentar yang menyatakan bahwa saya salah terus membingungkan firewall dengan operasi NAT. Mereka jelas tidak pernah bermain dengan router yang lebih lama (1998'ish) yang hanya ditugaskan pemetaan port berdasarkan pemicu paket. Router ini tidak memiliki pelacakan negara dan tidak ada firewall, namun mereka yang menerapkan NAT. Tanpa jaminan. Itulah poin saya.
sumber
Topik ini sangat menarik - terima kasih telah meminta Neth.
Inilah pemikiran saya - NAT menjadi fitur keamanan adalah manfaat tangensial. Tujuan utamanya adalah untuk berbagi satu IP di berbagai sistem. Ada situasi seperti ketika Anda membeli internet Comcast yang lebih murah, mereka hanya memberi Anda satu alamat IP statis. Itu berarti memiliki beberapa sistem online secara bersamaan, router Anda harus mengelolanya melalui NAT.
Saya menghargai ketakutan keamanan itu, tetapi semua orang di atas benar - keamanan didasarkan pada firewall Anda, bukan pengaturan NAT Anda.
Ada opsi menarik / keren untuk melihat apakah keamanan adalah hal Anda.
1) Lakukan dasar-dasarnya terlebih dahulu - periksa router Anda untuk pengaturan firewall. Jika tidak ada yang berharga, cari di google dan lihat apakah Anda dapat mem-flash-nya dengan DD-WRT (open source dan buruk $$ router OS).
2) Abstraksi alamat IP Anda melalui (a) Menjalankan sesuatu yang bersifat pribadi di dalam mesin virtual pada sistem Anda (b) menggunakan server proxy atau layanan seperti add-on Cocoon untuk FF (c) Memasang Tor.
Pemikiran semacam ini dapat berlangsung untuk sementara waktu, jadi saya akan meninggalkannya di sini untuk saat ini. Semoga berhasil dalam melindungi diri Anda secara online.
sumber
Ini cukup subjektif;)
Dua sen saya: Ya, NAT memang meningkatkan keamanan karena ia bertindak sebagai firewall parsial yang datang "gratis". Tapi Anda sudah membuat poin saya: Ini hanya membuat firewall nyata diperlukan. Tetapi itu tidak berarti harus seperti itu firewall desktop - banyak router IPv4 komoditas sudah dilengkapi dengan firewall di atas NAT.
Singkatnya: Jika ada fungsional, firewall yang dikonfigurasi dengan benar pada router, komputer pada jaringan IPv6 tanpa NAT masih akan memiliki banyak port yang terbuka ke dunia seperti halnya dengan IPv4 (tidak ada), dan alih-alih meneruskan port, Anda Sedang membuat pengecualian firewall.
sumber