Bietet NAT Sicherheit?

12

Ich verfolge Diskussionen über den IPv4-> IPv6-Übergang, und IPv6 scheint NAT überhaupt nicht zu mögen.

Ich habe immer gedacht, dass NAT in v4 für eine gewisse Sicherheit hilfreich ist. Ich weiß, dass es die Computer nicht wirklich verbirgt, aber es erschwert ihnen den Zugang zu den Anschlüssen auf den Computern hinter NAT Tor.

Die IPv6-Behauptung besagt, dass dies keine Sicherheit bietet und dass stattdessen echte Firewalls und Gateway-Router verwendet werden sollten. Ich mag es nicht, wenn mein gesamtes Heimnetzwerk im Internet sichtbar wird.

Also, ist das eine gute oder schlechte Sache?

security ipv6 nat ipv4 Neth
quelle
6
Ich würde nicht sagen, dass Network Address Translation in erster Linie die Sicherheit betrifft. Es geht darum, dass Sie eine einzige externe IP-Adresse haben, die intern in ein ganzes Netzwerk übersetzt werden kann, und zwar in einem eigenen Bereich von IPs und Subnetzen. Sicher, das hat Vorteile, aber ich sehe es eher als "Lösung" für den IPv4-Mangel.
Abgesehen von der Tatsache, dass so ziemlich alles mit NAT so etwas wie eine Firewall hat, sind sie sich ziemlich ähnlich. NAT (IIUC) trennt im Allgemeinen Verbindungen zu einem Port, den es nicht zum Senden geöffnet hat, und macht Sie auf diese Weise sicherer.
Tobylane
1
WARTEN, bedeutet das, dass jeder Computer in Ihrem Netzwerk ein öffentliches IPV6 erhält? Ich meine, wir haben genug IPV6s, um das zu tun, also ... Bekommen die Leute nur eine IPV6-Reichweite mit ihrem Internet-Paket? Auch wenn dies zutrifft, haben ISPs die Möglichkeit, die Anzahl der Computer in Ihrem Netzwerk zu begrenzen, wenn der Router explizit kein NAT aufweist. Ich hoffe doch. Ich habe wahrscheinlich falsch gelesen.
sinni800
1
In diesen Fragen zu serverfault finden Sie ausführlichere technische Antworten. serverfault.com/questions/63704/nat-as-a-firewall serverfault.com/questions/184524/…
Zoredache
Siehe youtube.com/watch?v=v26BAlfWBm8
Wiedereinsetzung von Monica - M. Schröder

Antworten:

6

NAT ermöglicht eine bestimmte Art von Sicherheit, indem Personen außerhalb Ihres Netzwerks keine Verbindungen zum Inneren Ihres Netzwerks initiieren können. Dies reduziert Würmer und andere Malware-Klassen. Das hilft manchen.

Dinge, die es nicht hilft:

  • Andere Malware von außen. Viren, Browser-Hijacks, Trojaner.
  • Jeder Angriff von innen. Wenn ein Computer intern kompromittiert wird, hat er auf Ihren anderen Computern freie Hand.

Es ist keine Firewall.

  • Firewalls können den Datenverkehr in beide Richtungen blockieren. Auf diese Weise kann verhindert werden, dass Malware Verbindungen zu Steuercomputern herstellt oder neuen Code herunterlädt. Dies muss jedoch konfiguriert werden.
  • Firewalls können so konfiguriert werden, dass sie protokollieren, was sie blockieren, NAT blockiert nichts, nichts zu protokollieren.
  • Firewalls können verhindern, dass bestimmte IP-Adressen Ihr Netzwerk angreifen. NAT ist so ziemlich alles (Sie konfigurieren die Portweiterleitung an einen Server in Ihrem internen Netz) oder nichts.
  • Eine gute Firewall kann die Rate begrenzen und einige DOS-Angriffe abschwächen. NAT, immer noch alles oder nichts.
  • Wahrscheinlich andere coole Sachen, da ich seit einiger Zeit nicht mehr mit den coolen Firewall-Funktionen Schritt gehalten habe.

Sie benötigen also weiterhin Firewalls auf allen internen Computern, da bei einer Beeinträchtigung alles andere in Ihrem Netzwerk übernommen werden kann. Denken Sie daran, dass Begriffe wie Würmer, Viren und Trojaner nicht mehr viel bedeuten. Jede Malware kann eine große Nutzlast herunterladen und dann mehrere Angriffsvektoren in Ihrem Netzwerk verwenden. IE Zero Day Exploits können einen Computer in Ihrem Netzwerk gefährden und alles ausschalten.

Der Punkt ist also, dass es eine Teilmenge der Sicherheit in einer bestimmten Richtung bietet, aber es bedeutet nicht, dass Sie in Bezug auf alles andere weniger sicher sein können. Sie müssen immer noch Best Practices für alles andere ausführen, daher geben die meisten Leute an, dass dies keine Sicherheit bietet, was verwirrend ist, da es einige bietet.

Reiche Homolka
quelle
Ich stimme zu, dass NAT keine Firewall ist, aber ich glaube, es wäre sehr schwierig, ein Gerät zu finden, das NAT-fähig ist und keine L3-Paketfilterung durchführen kann, wenn Sie über einen guten Zugriff auf den Kernel verfügen. Nahezu jedes Gerät, das heutzutage NAT ausführt, führt dies als Teil des Stateful Packet Filter (dh der Firewall) durch.
Zoredache
5

In erster Linie ist NAT eine Lösung für das IPv4-Engpassproblem. Als Nebeneffekt beschränkt es den Zugriff auf interne Maschinen, die eine Firewall-ähnliche Funktion bieten.

In allen NAT-Routern, die ich verwendet habe (nur für den Heimgebrauch), ist auch eine Firewall integriert. Wenn Sie sich gegen NAT entscheiden, benötigen Sie immer noch eine Firewall, da alle Ihre internen Computer ohne eine exponiert sind.

Chris Nava
quelle
3

NAT ist keine Sicherheitsfunktion.

Stellen Sie sich einen NAT-Router ohne Firewall vor, um sich selbst davon zu überzeugen. Jeder externe Port, der von einem internen Computer verwendet wurde, wird einfach offen gelassen.

Ein NAT-Setup wie dieses würde keine Sicherheit bieten, da jeder außerhalb über den zuletzt verwendeten externen Port eine Verbindung zu Ihren internen Ports herstellen könnte.

Tatsächlich ist UDP bereits so implementiert, da für das NAT-Gateway keine Verbindung zum Verfolgen besteht. Okay, ich habe ein bisschen gelogen, weil UDP nur von der letzten IP empfangen wird, an die gesendet wurde. Aber um alle zu erschrecken, als NAT neu war, haben einige Anbieter dies nicht richtig verstanden und die UDP-Ports waren für die Welt offen.

Was also die eigentliche Sicherheit in einem NAT-Gateway bietet, ist nicht das NAT, sondern die Stateful Firewall .

Die Kommentare, die behaupten, dass ich falsch liege, verwechseln die Firewall immer wieder mit dem NAT-Vorgang. Sie haben offensichtlich noch nie mit einem älteren Router (1998'ish) gespielt, der einfach eine Portzuordnung basierend auf einem Paketauslöser zugewiesen hat. Diese Router hatte keine Statusverfolgung und keine Firewalling, aber sie waren die Umsetzung NAT. Ohne Sicherheit. Welches ist mein Punkt.

Zan Lynx
quelle
Sie können nur eine Verbindung zu den Ports des Routers herstellen. Wenn NAT-Einträge für eingehende Verbindungen gesperrt sind, erfolgt keine Weiterleitung an interne Server.
BillThor
@ BillThor: Nein. Sie denken an die Firewall. Warum würde eine reine NAT-Box Ihrer Meinung nach nicht zu internen Servern weiterleiten?
Zan Lynx
Keine Verbindung für das NAT-Gateway zum Verfolgen . Diese Aussage ist äußerst falsch. NAT funktioniert speziell, weil Stateful Tracking durchgeführt wird. Sie können keine Portadressübersetzung ohne einen Status für die Verfolgungsverbindung durchführen. TCP NAT-Übersetzungen sind einfach zu verfolgen, da ein SYN- und FIN-Paket den Beginn und das Ende einer Verbindung markieren. UDP-Übersetzungen werden nach einer kurzen Zeit der Inaktivität schnell beendet.
Zoredache
1
@Zoredache: Du liegst tatsächlich falsch. NAT erfordert keine Statusverfolgung. In früheren NAT-Versionen wurde ein eingehender Port basierend auf dem ausgehenden Datenverkehr zugewiesen und diese Zuordnung einfach beibehalten, bis eine Zeitüberschreitung erreicht wurde. Diese Portzuweisung musste auch keine eingehenden Quell-IPs filtern, sondern akzeptierte eingehenden Datenverkehr und leitete ihn an das interne Netzwerk weiter. Ich weiß nicht, warum die Leute mich weiterhin dafür ablehnen.
Zan Lynx
2

Dieses Thema ist wirklich interessant - danke, dass Sie Neth gefragt haben.

Hier ist mein Gedanke - NAT als Sicherheitsmerkmal ist wirklich ein tangentialer Vorteil. Der Hauptzweck besteht darin, eine einzelne IP auf mehreren Systemen gemeinsam zu nutzen. Es gibt Situationen, in denen Sie beim Kauf eines günstigeren Comcast-Internets nur eine einzige statische IP-Adresse angeben. Das heißt, wenn mehrere Systeme gleichzeitig online sein sollen, muss Ihr Router sie über NAT verwalten.

Ich weiß die Sicherheitsangst zu schätzen, aber alle oben genannten Personen haben Recht - die Sicherheit basiert auf Ihrer Firewall und nicht auf Ihrem NAT-Setup.

Es gibt interessante / coole Möglichkeiten zu prüfen, ob Sicherheit Ihr Ding ist.

1) Machen Sie zuerst die Grundlagen - überprüfen Sie Ihren Router auf Firewall-Einstellungen. Wenn es sich nicht lohnt, googeln Sie es und prüfen Sie, ob Sie es mit DD-WRT flashen können (Open Source und schlechtes $$ Router-Betriebssystem).

2) Abstrahieren Sie Ihre IP-Adresse durch (a) Ausführen von privaten Inhalten innerhalb einer virtuellen Maschine auf Ihrem System (b) Verwenden eines Proxyservers oder eines Dienstes wie dem Cocoon-Add-On für FF (c) Installieren von Tor.

Diese Art von Gedanken kann eine Weile andauern, also lasse ich es jetzt hier. Viel Erfolg beim Online-Schutz.

mbb
quelle
0

Das ist so ziemlich subjektiv;)

Meine zwei Cent: Ja, NAT erhöht die Sicherheit, indem es als Teil-Firewall fungiert, die "kostenlos" ist. Aber Sie machen schon meinen Standpunkt klar: Dies macht nur eine echte Firewall notwendig. Dies bedeutet jedoch nicht, dass es sich um Desktop- Firewalls handeln muss. Viele gängige IPv4-Router verfügen bereits über eine Firewall, die auf NAT aufbaut.

Fazit: Wenn der Router über eine funktionierende, ordnungsgemäß konfigurierte Firewall verfügt, sind auf Computern in einem IPv6-Netzwerk ohne NAT immer noch so viele Ports für die Welt geöffnet wie bei IPv4 (keine), und Sie leiten keine Ports weiter machen Firewall-Ausnahmen.

Tobias Plutat
quelle