Apakah NAT memberikan keamanan?

12

Saya mengikuti diskusi tentang transisi IPv4-> IPv6, dan IPv6 sepertinya tidak menyukai NAT sama sekali.

Saya selalu berpikir bahwa NAT sangat membantu dalam v4 untuk beberapa keamanan, saya tahu itu tidak benar-benar menyembunyikan komputer tetapi membuat mereka lebih sulit untuk mencapai, tentu saja membuatnya mudah untuk membatasi akses ke port pada komputer di belakang NAT pintu gerbang.

Pendapat IPv6 adalah bahwa itu tidak memberikan keamanan, bahwa firewall dan gateway gateway yang sebenarnya harus digunakan sebagai gantinya. Saya tidak suka ide seluruh jaringan rumah saya terekspos di internet.

Jadi, apakah ini hal yang baik atau buruk?

Neth
sumber
6
Saya tidak akan mengatakan Terjemahan Alamat Jaringan terutama tentang keamanan. Ini tentang membiarkan Anda memiliki satu alamat IP eksternal, yang dapat menerjemahkan secara internal ke seluruh jaringan, pada rentang IP dan subnetnya sendiri. Tentu itu memiliki manfaat untuk itu, tapi saya melihatnya lebih sebagai "perbaikan" untuk kekurangan IPv4.
Selain fakta bahwa hampir semuanya dengan NAT memiliki sesuatu yang seperti firewall, mereka sangat mirip. NAT umumnya (IIUC) menjatuhkan koneksi ke port yang tidak terbuka untuk dikirim, dan karenanya membuat Anda lebih aman dengan cara itu.
tobylane
1
Tunggu, apakah itu berarti setiap komputer di jaringan Anda akan mendapatkan IPV6 publik? Maksud saya, kita memiliki cukup IPV6 untuk melakukan itu, jadi ... Apakah orang hanya mendapatkan kisaran IPV6 dengan paket internet mereka? Juga jika ini benar yang memberikan ISP kemungkinan untuk membatasi jumlah komputer yang dapat Anda miliki di jaringan Anda ketika router secara eksplisit tidak menunjukkan NAT. Saya harap begitu. Saya salah membaca.
sinni800
1
Lihat pertanyaan-pertanyaan ini di serverfault untuk jawaban yang lebih rinci secara teknis. serverfault.com/questions/63704/nat-as-a-firewall serverfault.com/questions/184524/…
Zoredache
Lihat youtube.com/watch?v=v26BAlfWBm8
Reinstate Monica - M. Schröder

Jawaban:

6

NAT memungkinkan jenis keamanan tertentu, di mana orang-orang di luar jaringan Anda tidak dapat memulai koneksi ke bagian dalam jaringan Anda. Ini mengurangi cacing dan kelas malware lainnya. Ini membantu beberapa orang.

Hal-hal yang tidak membantu:

  • Malware lain dari luar. Virus, drive oleh pembajak peramban, trojan.
  • Setiap serangan dari dalam. Jika ada komputer yang dikompromikan secara internal, mereka memiliki kendali bebas pada komputer Anda yang lain.

Ini bukan firewall.

  • Firewall dapat memblokir lalu lintas kedua arah. Ini dapat membantu memblokir malware dari koneksi ke komputer kontrol, atau mengunduh kode baru. Tetapi ini perlu dikonfigurasi.
  • Firewall dapat dikonfigurasikan untuk mencatat apa yang mereka blokir, NAT tidak memblokir apa pun, tidak ada yang perlu dicatat.
  • Firewall dapat memblokir alamat IP tertentu agar tidak menyerang jaringan Anda. NAT hampir semuanya (Anda mengonfigurasi port forwarding ke server di jaringan internal Anda) atau tidak sama sekali.
  • Firewall yang bagus dapat menilai batas, mengurangi beberapa serangan DOS. NAT, masih semuanya atau tidak sama sekali.
  • Mungkin hal keren lainnya, karena saya belum mengikuti fitur keren firewall dalam beberapa saat.

Jadi, Anda masih memerlukan firewall di semua komputer internal, karena jika ada sesuatu yang dikompromikan, itu dapat mengambil alih apa pun di jaringan Anda. Ingatlah bahwa istilah seperti worm, virus, trojan tidak berarti banyak lagi. Malware apa pun dapat mengunduh muatan besar dan kemudian menggunakan beberapa vektor serangan di dalam jaringan Anda. Eksploitasi nol hari IE dapat membahayakan satu komputer di internet Anda, dan mencatat semuanya.

Jadi, intinya adalah, itu memang memberikan bagian keamanan pada arah tertentu, tetapi itu tidak berarti Anda bisa kurang aman tentang hal lain. Anda masih perlu melakukan praktik terbaik tentang segala hal lain, jadi kebanyakan orang mengatakan itu tidak memberikan keamanan, yang membingungkan karena memang memberikan beberapa.

Homolka yang kaya
sumber
Saya setuju bahwa NAT bukan firewall, tetapi saya percaya Anda akan menemukan sangat sulit untuk menemukan perangkat yang mampu NAT, dan tidak dapat melakukan penyaringan paket L3 jika Anda memiliki tingkat akses yang baik ke kernel. Hampir setiap perangkat yang melakukan NAT akhir-akhir ini melakukannya sebagai bagian dari filter paket stateful (yaitu firewall).
Zoredache
5

Terutama, NAT adalah perbaikan untuk masalah kekurangan IPv4. Sebagai manfaat samping itu membatasi akses ke mesin internal yang menyediakan fungsi seperti firewall.

Semua router NAT yang saya gunakan (hanya digunakan di rumah) juga memiliki firewall bawaan. Jika Anda memutuskan untuk tidak menggunakan NAT, Anda masih memerlukan firewall karena semua mesin internal Anda terbuka tanpa satu.

Chris Nava
sumber
3

NAT bukan fitur keamanan.

Untuk membuktikannya pada diri sendiri, visualisasikan router NAT tanpa firewall. Setiap port eksternal yang digunakan oleh mesin internal dibiarkan terbuka.

Pengaturan NAT seperti ini tidak akan memberikan keamanan karena siapa pun di luar hanya dapat terhubung ke port internal Anda melalui port eksternal terakhir yang Anda gunakan.

Faktanya, UDP sudah diimplementasikan seperti itu karena tidak ada koneksi untuk dilacak oleh gateway NAT. Oke, saya berbohong sedikit karena UDP terbatas untuk menerima dari IP terakhir yang dikirim. Tetapi untuk menakut-nakuti orang, kembali ketika NAT baru beberapa vendor tidak mendapatkan hak ini dan port UDP yang terbuka untuk dunia.

Jadi yang menyediakan keamanan sebenarnya di gateway NAT bukanlah NAT tetapi firewall stateful .

Komentar yang menyatakan bahwa saya salah terus membingungkan firewall dengan operasi NAT. Mereka jelas tidak pernah bermain dengan router yang lebih lama (1998'ish) yang hanya ditugaskan pemetaan port berdasarkan pemicu paket. Router ini tidak memiliki pelacakan negara dan tidak ada firewall, namun mereka yang menerapkan NAT. Tanpa jaminan. Itulah poin saya.

Zan Lynx
sumber
Mereka hanya akan dapat terhubung ke port di router. Kecuali entri NAT untuk koneksi masuk, tidak ada perutean ke server internal.
BillThor
@ BillThor: Tidak. Anda sedang memikirkan firewall. Mengapa Anda pikir kotak NAT murni tidak akan merutekan ke server internal?
Zan Lynx
Tidak ada koneksi untuk gerbang NAT untuk dilacak . Pernyataan ini sangat salah. NAT bekerja secara khusus karena pelacakan stateful dilakukan. Anda tidak dapat memiliki terjemahan alamat port tanpa status koneksi pelacakan. Terjemahan TCP NAT mudah dilacak sejak SYN, dan paket FIN menandai awal dan akhir koneksi. Terjemahan UDP dengan cepat habis setelah beberapa saat tidak aktif.
Zoredache
1
@Zoredache: Anda sebenarnya salah. NAT tidak memerlukan pelacakan negara. Versi awal NAT menetapkan port masuk berdasarkan lalu lintas keluar dan hanya mempertahankan asosiasi itu sampai batas waktu tercapai. Penugasan port ini juga tidak perlu menyaring IP sumber yang masuk, tetapi akan menerima lalu lintas masuk dan merutekannya ke jaringan internal. Mengapa orang terus menurunkan saya untuk ini, saya tidak tahu.
Zan Lynx
2

Topik ini sangat menarik - terima kasih telah meminta Neth.

Inilah pemikiran saya - NAT menjadi fitur keamanan adalah manfaat tangensial. Tujuan utamanya adalah untuk berbagi satu IP di berbagai sistem. Ada situasi seperti ketika Anda membeli internet Comcast yang lebih murah, mereka hanya memberi Anda satu alamat IP statis. Itu berarti memiliki beberapa sistem online secara bersamaan, router Anda harus mengelolanya melalui NAT.

Saya menghargai ketakutan keamanan itu, tetapi semua orang di atas benar - keamanan didasarkan pada firewall Anda, bukan pengaturan NAT Anda.

Ada opsi menarik / keren untuk melihat apakah keamanan adalah hal Anda.

1) Lakukan dasar-dasarnya terlebih dahulu - periksa router Anda untuk pengaturan firewall. Jika tidak ada yang berharga, cari di google dan lihat apakah Anda dapat mem-flash-nya dengan DD-WRT (open source dan buruk $$ router OS).

2) Abstraksi alamat IP Anda melalui (a) Menjalankan sesuatu yang bersifat pribadi di dalam mesin virtual pada sistem Anda (b) menggunakan server proxy atau layanan seperti add-on Cocoon untuk FF (c) Memasang Tor.

Pemikiran semacam ini dapat berlangsung untuk sementara waktu, jadi saya akan meninggalkannya di sini untuk saat ini. Semoga berhasil dalam melindungi diri Anda secara online.

mbb
sumber
0

Ini cukup subjektif;)

Dua sen saya: Ya, NAT memang meningkatkan keamanan karena ia bertindak sebagai firewall parsial yang datang "gratis". Tapi Anda sudah membuat poin saya: Ini hanya membuat firewall nyata diperlukan. Tetapi itu tidak berarti harus seperti itu firewall desktop - banyak router IPv4 komoditas sudah dilengkapi dengan firewall di atas NAT.

Singkatnya: Jika ada fungsional, firewall yang dikonfigurasi dengan benar pada router, komputer pada jaringan IPv6 tanpa NAT masih akan memiliki banyak port yang terbuka ke dunia seperti halnya dengan IPv4 (tidak ada), dan alih-alih meneruskan port, Anda Sedang membuat pengecualian firewall.

Tobias Plutat
sumber