web-dev-qa-db-ja.com

NATはセキュリティを提供しますか?

私はIPv4-> IPv6移行についての議論をフォローしていますが、IPv6はNATをまったく好まないようです。

NATは、セキュリティのためにv4で役立つといつも思っていました。実際にはコンピューターが隠されていないことはわかっていますが、コンピューターにアクセスするのが難しくなり、制限が簡単になります。 NATゲートウェイの背後にあるコンピューターのポートへのアクセス。

IPv6の競合は、セキュリティを提供しないということです。代わりに、実際のファイアウォールとゲートウェイルーターを使用する必要があります。ホームネットワーク全体がインターネットに公開されるという考えは好きではありません。

それで、これは良いことですか、悪いことですか?

13
Neth

NATは、ネットワークの外部の人々がネットワークの内部への接続を開始できないという点で、特定のタイプのセキュリティを許可します。これにより、ワームやその他のクラスのマルウェアが削減されます。これはいくつかの助けになります。

それが役に立たないこと:

  • 外部からの他のマルウェア。ウイルス、ブラウザハイジャック、トロイの木馬によるドライブ。
  • 内部からの攻撃。いずれかのコンピューターが内部的に侵害された場合、それらは他のコンピューターを自由に支配します。

notファイアウォールです。

  • ファイアウォールは、双方向のトラフィックをブロックできます。これは、マルウェアが制御コンピューターに接続したり、新しいコードをダウンロードしたりするのをブロックするのに役立ちます。ただし、これを構成する必要があります。
  • ファイアウォールは、ブロックしたものをログに記録するように構成できます。NATは何もブロックせず、ログに記録するものもありません。
  • ファイアウォールは、特定のIPアドレスがネットワークを攻撃するのをブロックできます。 NATはほとんどすべて(内部ネットのサーバーへのポート転送を構成します)または何もありません。
  • 優れたファイアウォールはレート制限を行い、一部のDOS攻撃を軽減できます。 NAT、まだすべてまたは何も。
  • 私はしばらくの間ファイアウォールのクールな機能に追いついていないので、おそらく他のクールなもの。

したがって、すべての内部コンピュータにファイアウォールが必要です。これは、何かが侵害された場合、ネットワーク内の他のすべてを引き継ぐ可能性があるためです。ワーム、ウイルス、トロイの木馬などの用語は、もはやあまり意味がないことを忘れないでください。マルウェアは大きなペイロードをダウンロードして、ネットワーク内で複数の攻撃ベクトルを使用する可能性があります。 IEゼロデイエクスプロイトは、ネット上の1台のコンピューターを危険にさらし、すべてを停止させる可能性があります。

つまり、重要なのは、特定の方向にセキュリティのサブセットを提供するということですが、それ以外のことについて安全性が低下する可能性があるという意味ではありません。それでも他のすべてについてベストプラクティスを実行する必要があるため、ほとんどの人はセキュリティが提供されないと言います。セキュリティは提供されるため、混乱を招きます。

7
Rich Homolka

主に、NATはIPv4不足の問題の修正です。副次的な利点として、ファイアウォールのような機能を提供する内部マシンへのアクセスを制限します。

私が使用したすべてのNATルーター(家庭用のみ)にはまたファイアウォールが組み込まれています。NATを使用しないことにした場合でも、すべての内部マシンがファイアウォールなしで公開されているため、ファイアウォール。

5
Chris Nava

NATはセキュリティ機能ではありません。

これを自分で証明するには、ファイアウォールのないNATルーターを視覚化します。内部マシンによって使用されたすべての外部ポートは、単に開いたままにしておきます。

NATこのような設定では、外部の誰もが最後に使用した外部ポートを介して内部ポートに接続できるため、セキュリティは提供されません。

実際のところ、UDPはすでに実装されています。これは、NATゲートウェイが追跡するための接続がないためです。 。さて、UDPは送信された最後のIPからの受信に制限されているため、少し嘘をつきました。しかし、みんなを怖がらせるために、NATが新しいとき、一部のベンダーはこれを取得しませんでした右とUDPポート世界に開かれていました。

したがって、NATゲートウェイはNATではないですがステートフルファイアウォールで実際のセキュリティを提供します。

私が間違っていると主張するコメントは、ファイアウォールをNAT操作と混同し続けています。パケットトリガーに基づいてポートマッピングを割り当てただけの古いルーター(1998'ish)で遊んだことはありません。これらのルーターには状態追跡もファイアウォールもありませんでしたが、はNATを実装していました。セキュリティなし。これが私のポイントです。

3
Zan Lynx

このトピックは本当に興味深いです-Nethに質問してくれてありがとう。

これが私の考えです-NATセキュリティ機能であることは本当に接線上の利点です。それは主な目的は複数のシステム間で単一のIPを共有することです。より安いComcastインターネットを購入するときのような状況があります。静的IPアドレスは1つだけです。つまり、複数のシステムを同時にオンラインにするには、ルーターがNATを介してそれらを管理する必要があります。

私はそれに対するセキュリティの恐れに感謝しますが、上記の誰もが正しいです-セキュリティはあなたのNATセットアップではなく、あなたのファイアウォールに基づいています。

セキュリティがあなたのものであるかどうかを調べるための興味深い/クールなオプションがあります。

1)最初に基本を行います-ファイアウォールの設定についてルーターを確認します。価値のあるものが何もない場合は、グーグルで検索して、DD-WRT(オープンソースで悪いa $$ルーターOS)でフラッシュできるかどうかを確認してください。

2)(a)システム上の仮想マシン内でプライベートなものを実行する(b)プロキシサーバーまたはFF用のCocoonアドオンなどのサービスを使用する(c)TorをインストールすることでIPアドレスを抽象化します。

このような考えはしばらく続く可能性があるので、とりあえずここに置いておきます。オンラインで身を守るためのGodspeed。

2
mbb

これはかなり主観的です;)

私の2セント:はい、NATは、「無料」で提供される部分的なファイアウォールとして機能するという点でセキュリティを強化します。しかし、あなたはすでに私の主張を述べています。これにより、実際のファイアウォールが必要になります。 。しかし、それはそれがdesktopファイアウォールでなければならないという意味ではありません-多くの商用IPv4ルーターはすでにNATの上にファイアウォールを備えています。

すべてを要約すると、ルーターに機能的で適切に構成されたファイアウォールがある場合、NATのないIPv6ネットワーク上のコンピューターは、IPv4の場合と同じ数のポートを世界中に開いたままになります(なし)、そしてポートを転送する代わりに、ファイアウォールの例外を作成しています。

0
Tobias Plutat