Le NAT assure-t-il la sécurité?

12

Je suis en train de suivre des discussions sur la transition IPv4-> IPv6, et IPv6 ne semble pas du tout aimer NAT.

J'ai toujours pensé que le NAT était utile dans la v4 pour une certaine sécurité, je sais que cela ne cache pas vraiment les ordinateurs mais cela les rend plus difficiles d'accès, certainement il est facile de limiter l'accès aux ports sur les ordinateurs derrière le NAT passerelle.

L'argument IPv6 est qu'il ne fournit pas de sécurité, que de vrais pare-feu et routeurs de passerelle devraient être utilisés à la place. Je n'aime pas l'idée que tout mon réseau domestique soit exposé sur Internet.

Alors, est-ce une bonne ou une mauvaise chose?

security ipv6 nat ipv4 Neth
la source
6
Je ne dirais pas que la traduction d'adresses réseau concerne principalement la sécurité. Il s'agit de vous permettre d'avoir une seule adresse IP externe, qui peut se traduire en interne sur un réseau entier, sur sa propre gamme d'adresses IP et de sous-réseaux. Bien sûr, cela a des avantages, mais je le vois plutôt comme une «solution» à la pénurie d'IPv4.
Mis à part le fait que presque tout avec NAT a un pare-feu, ils sont assez similaires. NAT généralement (IIUC) abandonne les connexions à un port qu'il n'a pas ouvert pour envoyer, et vous rend donc plus sûr de cette façon.
tobylane
1
ATTENDRE, cela signifie-t-il que chaque ordinateur de votre réseau recevra un IPV6 public? Je veux dire, nous avons suffisamment d'IPV6 pour le faire, alors ... Les gens obtiennent-ils simplement une gamme IPV6 avec leur forfait Internet? De plus, si cela est vrai, cela donne aux FAI la possibilité de limiter le nombre d'ordinateurs que vous pouvez avoir dans votre réseau lorsque le routeur ne présente explicitement pas de NAT. J'espère bien. J'ai mal lu probablement.
sinni800
1
Voir ces questions sur serverfault pour des réponses plus détaillées sur le plan technique. serverfault.com/questions/63704/nat-as-a-firewall serverfault.com/questions/184524/…
Zoredache
Non. Voir youtube.com/watch?v=v26BAlfWBm8
Reinstate Monica - M. Schröder

Réponses:

6

NAT permet un certain type de sécurité, en ce sens que les personnes extérieures à votre réseau ne peuvent pas établir de connexions vers l'intérieur de votre réseau. Cela réduit les vers et autres classes de logiciels malveillants. Cela aide certains.

Choses que cela n'aide pas:

  • D'autres logiciels malveillants de l'extérieur. Virus, lecteur par détournements de navigateur, chevaux de Troie.
  • Toute attaque de l'intérieur. Si un ordinateur est compromis en interne, il a toute latitude sur vos autres ordinateurs.

Ce n'est pas un pare-feu.

  • Les pare-feu peuvent bloquer le trafic dans les deux sens. Cela peut aider à empêcher les logiciels malveillants de se connecter aux ordinateurs de contrôle ou de télécharger un nouveau code. Mais cela doit être configuré.
  • Les pare-feu peuvent être configurés pour enregistrer ce qu'ils bloquent, NAT ne bloque rien, rien à enregistrer.
  • Les pare-feu peuvent empêcher des adresses IP spécifiques d'attaquer votre réseau. NAT est à peu près tout (vous configurez la redirection de port vers un serveur dans votre réseau interne) ou rien.
  • Un bon pare-feu peut limiter la vitesse, atténuant certaines attaques DOS. NAT, toujours tout ou rien.
  • Probablement d'autres trucs sympas, car je n'ai pas suivi les fonctionnalités intéressantes du pare-feu depuis un moment.

Ainsi, vous avez toujours besoin de pare-feu sur tous les ordinateurs internes, car si quelque chose est compromis, il peut prendre le relais de tout autre élément de votre réseau. N'oubliez pas que des termes comme vers, virus, chevaux de Troie ne signifient plus grand-chose. Tout malware peut télécharger une grosse charge utile, puis utiliser plusieurs vecteurs d'attaque à l'intérieur de votre réseau. Les exploits IE zero day peuvent compromettre un ordinateur sur votre réseau et tout supprimer.

Donc, le fait est qu'il fournit un sous-ensemble de sécurité dans une direction spécifique, mais cela ne signifie pas que vous pouvez être moins sûr de quoi que ce soit d'autre. Vous devez toujours faire les meilleures pratiques pour tout le reste, donc la plupart des gens disent que cela ne donne aucune sécurité, ce qui prête à confusion car il en fournit.

Rich Homolka
la source
Je suis d'accord que NAT n'est pas un pare-feu, mais je pense que vous trouveriez très difficile de trouver un périphérique capable de NAT et incapable de filtrer les paquets L3 si vous aviez un bon niveau d'accès au noyau. Presque tous les appareils exécutant NAT de nos jours le font dans le cadre d'un filtre de paquets avec état (c'est-à-dire un pare-feu).
Zoredache
5

Principalement, NAT est un correctif pour le problème de pénurie IPv4. Comme avantage secondaire, il limite l'accès aux machines internes, ce qui fournit une fonction semblable à un pare-feu.

Tous les routeurs NAT que j'ai utilisés (usage domestique uniquement) ont également un pare-feu intégré. Si vous décidez de ne pas utiliser NAT, vous avez toujours besoin d'un pare-feu car toutes vos machines internes sont exposées sans un.

Chris Nava
la source
3

NAT n'est pas une fonction de sécurité.

Pour le prouver par vous-même, visualisez un routeur NAT sans pare-feu. Chaque port externe utilisé par une machine interne est simplement laissé ouvert.

Une configuration NAT comme celle-ci ne fournirait aucune sécurité car n'importe qui à l'extérieur pourrait simplement se connecter à vos ports internes via le dernier port externe que vous avez utilisé.

En fait, UDP est déjà implémenté comme ça car il n'y a pas de connexion pour la passerelle NAT à suivre. D'accord, j'ai menti un peu parce que l'UDP est limité à la réception de la dernière adresse IP envoyée. Mais pour effrayer tout le monde, à l'époque où NAT était nouveau, certains fournisseurs n'avaient pas bien compris et les ports UDP étaient ouverts sur le monde.

Ainsi, ce qui fournit la sécurité réelle dans une passerelle NAT n'est pas le NAT, mais le pare-feu dynamique .

Les commentaires affirmant que je me trompe continuent de confondre le pare-feu avec l'opération NAT. Ils n'ont évidemment jamais joué avec un routeur plus ancien (1998'ish) qui attribuait simplement un mappage de port basé sur un déclencheur de paquet. Ces routeurs avaient pas suivi de l' état et pas firewalling, mais ils ont été en œuvre NAT. Sans sécurité. C'est mon point.

Zan Lynx
la source
Ils ne pourraient se connecter qu'aux ports du routeur. À l'exception des entrées NAT pour les connexions entrantes, il n'y a pas de routage vers les serveurs internes.
BillThor
@ BillThor: Non. Vous pensez au pare-feu. Pourquoi pensez-vous qu'une boîte NAT pure ne serait pas acheminée vers des serveurs internes?
Zan Lynx
Aucune connexion pour la passerelle NAT à suivre . Cette affirmation est extrêmement erronée. NAT fonctionne spécifiquement parce que le suivi avec état est effectué. Vous ne pouvez pas avoir de traduction d'adresse de port sans un état de connexion de suivi. Les traductions TCP NAT sont faciles à suivre car un paquet SYN et FIN marquent le début et la fin d'une connexion. Les traductions UDP sont rapidement expirées après une courte période d'inactivité.
Zoredache
1
@Zoredache: Vous avez en fait tort. NAT ne nécessite pas de suivi d'état. Les premières versions de NAT attribuaient un port entrant en fonction du trafic sortant et maintenaient simplement cette association jusqu'à ce qu'un délai soit atteint. Cette affectation de port n'avait pas non plus besoin de filtrer les adresses IP source entrantes, mais acceptait tout trafic entrant et le dirigeait vers le réseau interne. Pourquoi les gens continuent de me déprécier pour cela, je ne sais pas.
Zan Lynx
2

Ce sujet est vraiment intéressant - merci d'avoir demandé à Neth.

Voici ma pensée - NAT étant une fonction de sécurité est vraiment un avantage tangentiel. Son objectif principal est de partager une seule IP sur plusieurs systèmes. Il y a des situations comme lorsque vous achetez Internet Comcast moins cher, ils ne vous donnent qu'une seule adresse IP statique. Cela signifie que pour avoir plusieurs systèmes en ligne simultanément, votre routeur doit les gérer via NAT.

J'apprécie la peur de la sécurité, mais tout le monde a raison - la sécurité est basée sur votre pare-feu, pas sur votre configuration NAT.

Il y a des options intéressantes / intéressantes à examiner si la sécurité est votre truc.

1) Faites d'abord les bases - vérifiez les paramètres du pare-feu sur votre routeur. S'il n'a rien de valable, recherchez-le sur Google et voyez si vous pouvez le flasher avec DD-WRT (open source et mauvais système d'exploitation d'un routeur $$).

2) Résumez votre adresse IP en (a) exécutant quelque chose de privé au sein d'une machine virtuelle sur votre système (b) en utilisant un serveur ou un service proxy comme le complément Cocoon pour FF (c) en installant Tor.

Ce genre de pensée peut durer un certain temps, alors je vais en rester là pour l'instant. Bonne chance pour vous protéger en ligne.

mbb
la source
0

C'est à peu près subjectif;)

Mes deux cents: Oui, le NAT augmente la sécurité en ce qu'il agit comme un pare-feu partiel qui est fourni "gratuitement". Mais vous faites déjà mon point: cela rend juste un véritable pare-feu nécessaire. Mais cela ne signifie pas qu'il doit s'agir de pare-feu de bureau - de nombreux routeurs IPv4 standard sont déjà livrés avec un pare-feu au-dessus de NAT.

Pour résumer le tout: s'il y a un pare-feu fonctionnel et correctement configuré sur le routeur, les ordinateurs d'un réseau IPv6 sans NAT auront toujours autant de ports ouverts sur le monde qu'avec IPv4 (aucun), et au lieu de rediriger les ports, vous faisons des exceptions de pare-feu.

Tobias Plutat
la source