Je suis en train de suivre des discussions sur la transition IPv4-> IPv6, et IPv6 ne semble pas du tout aimer NAT.
J'ai toujours pensé que le NAT était utile dans la v4 pour une certaine sécurité, je sais que cela ne cache pas vraiment les ordinateurs mais cela les rend plus difficiles d'accès, certainement il est facile de limiter l'accès aux ports sur les ordinateurs derrière le NAT passerelle.
L'argument IPv6 est qu'il ne fournit pas de sécurité, que de vrais pare-feu et routeurs de passerelle devraient être utilisés à la place. Je n'aime pas l'idée que tout mon réseau domestique soit exposé sur Internet.
Alors, est-ce une bonne ou une mauvaise chose?
Réponses:
NAT permet un certain type de sécurité, en ce sens que les personnes extérieures à votre réseau ne peuvent pas établir de connexions vers l'intérieur de votre réseau. Cela réduit les vers et autres classes de logiciels malveillants. Cela aide certains.
Choses que cela n'aide pas:
Ce n'est pas un pare-feu.
Ainsi, vous avez toujours besoin de pare-feu sur tous les ordinateurs internes, car si quelque chose est compromis, il peut prendre le relais de tout autre élément de votre réseau. N'oubliez pas que des termes comme vers, virus, chevaux de Troie ne signifient plus grand-chose. Tout malware peut télécharger une grosse charge utile, puis utiliser plusieurs vecteurs d'attaque à l'intérieur de votre réseau. Les exploits IE zero day peuvent compromettre un ordinateur sur votre réseau et tout supprimer.
Donc, le fait est qu'il fournit un sous-ensemble de sécurité dans une direction spécifique, mais cela ne signifie pas que vous pouvez être moins sûr de quoi que ce soit d'autre. Vous devez toujours faire les meilleures pratiques pour tout le reste, donc la plupart des gens disent que cela ne donne aucune sécurité, ce qui prête à confusion car il en fournit.
la source
Principalement, NAT est un correctif pour le problème de pénurie IPv4. Comme avantage secondaire, il limite l'accès aux machines internes, ce qui fournit une fonction semblable à un pare-feu.
Tous les routeurs NAT que j'ai utilisés (usage domestique uniquement) ont également un pare-feu intégré. Si vous décidez de ne pas utiliser NAT, vous avez toujours besoin d'un pare-feu car toutes vos machines internes sont exposées sans un.
la source
NAT n'est pas une fonction de sécurité.
Pour le prouver par vous-même, visualisez un routeur NAT sans pare-feu. Chaque port externe utilisé par une machine interne est simplement laissé ouvert.
Une configuration NAT comme celle-ci ne fournirait aucune sécurité car n'importe qui à l'extérieur pourrait simplement se connecter à vos ports internes via le dernier port externe que vous avez utilisé.
En fait, UDP est déjà implémenté comme ça car il n'y a pas de connexion pour la passerelle NAT à suivre. D'accord, j'ai menti un peu parce que l'UDP est limité à la réception de la dernière adresse IP envoyée. Mais pour effrayer tout le monde, à l'époque où NAT était nouveau, certains fournisseurs n'avaient pas bien compris et les ports UDP étaient ouverts sur le monde.
Ainsi, ce qui fournit la sécurité réelle dans une passerelle NAT n'est pas le NAT, mais le pare-feu dynamique .
Les commentaires affirmant que je me trompe continuent de confondre le pare-feu avec l'opération NAT. Ils n'ont évidemment jamais joué avec un routeur plus ancien (1998'ish) qui attribuait simplement un mappage de port basé sur un déclencheur de paquet. Ces routeurs avaient pas suivi de l' état et pas firewalling, mais ils ont été en œuvre NAT. Sans sécurité. C'est mon point.
la source
Ce sujet est vraiment intéressant - merci d'avoir demandé à Neth.
Voici ma pensée - NAT étant une fonction de sécurité est vraiment un avantage tangentiel. Son objectif principal est de partager une seule IP sur plusieurs systèmes. Il y a des situations comme lorsque vous achetez Internet Comcast moins cher, ils ne vous donnent qu'une seule adresse IP statique. Cela signifie que pour avoir plusieurs systèmes en ligne simultanément, votre routeur doit les gérer via NAT.
J'apprécie la peur de la sécurité, mais tout le monde a raison - la sécurité est basée sur votre pare-feu, pas sur votre configuration NAT.
Il y a des options intéressantes / intéressantes à examiner si la sécurité est votre truc.
1) Faites d'abord les bases - vérifiez les paramètres du pare-feu sur votre routeur. S'il n'a rien de valable, recherchez-le sur Google et voyez si vous pouvez le flasher avec DD-WRT (open source et mauvais système d'exploitation d'un routeur $$).
2) Résumez votre adresse IP en (a) exécutant quelque chose de privé au sein d'une machine virtuelle sur votre système (b) en utilisant un serveur ou un service proxy comme le complément Cocoon pour FF (c) en installant Tor.
Ce genre de pensée peut durer un certain temps, alors je vais en rester là pour l'instant. Bonne chance pour vous protéger en ligne.
la source
C'est à peu près subjectif;)
Mes deux cents: Oui, le NAT augmente la sécurité en ce qu'il agit comme un pare-feu partiel qui est fourni "gratuitement". Mais vous faites déjà mon point: cela rend juste un véritable pare-feu nécessaire. Mais cela ne signifie pas qu'il doit s'agir de pare-feu de bureau - de nombreux routeurs IPv4 standard sont déjà livrés avec un pare-feu au-dessus de NAT.
Pour résumer le tout: s'il y a un pare-feu fonctionnel et correctement configuré sur le routeur, les ordinateurs d'un réseau IPv6 sans NAT auront toujours autant de ports ouverts sur le monde qu'avec IPv4 (aucun), et au lieu de rediriger les ports, vous faisons des exceptions de pare-feu.
la source