NAT는 보안을 제공합니까? 좋아하지 않는 것 같습니다. 나는 항상

IPv4-> IPv6 전환에 대한 토론을 따르고 있으며 IPv6은 NAT를 전혀 좋아하지 않는 것 같습니다.

나는 항상 NAT가 v4에서 일부 보안에 도움이된다고 생각했습니다. 실제로 컴퓨터를 숨기는 것은 아니지만 그것이 더 어려워지는 것을 알고 있습니다. 확실히 NAT 뒤에있는 컴퓨터의 포트에 대한 액세스를 쉽게 제한 할 수 있습니다. 게이트웨이.

IPv6 경합은 보안을 제공하지 않고 실제 방화벽과 게이트웨이 라우터를 대신 사용해야한다는 것입니다. 전체 홈 네트워크가 인터넷에 노출된다는 생각이 마음에 들지 않습니다.

이게 좋은가요 나쁜가요?



답변

NAT는 네트워크 외부의 사람들이 네트워크 내부에 대한 연결을 시작할 수 없다는 점에서 특정 유형의 보안을 허용합니다. 이로 인해 웜 및 기타 클래스의 맬웨어가 줄어 듭니다. 이것은 일부 도움이됩니다.

도움이되지 않는 것 :

  • 외부의 다른 악성 코드 바이러스, 브라우저 하이재킹, 트로이 목마로 드라이브.
  • 내부로부터의 모든 공격. 컴퓨터가 내부적으로 손상된 경우 다른 컴퓨터에서 무료로 고삐를받을 수 있습니다.

방화벽 이 아닙니다 .

  • 방화벽은 양방향 트래픽을 차단할 수 있습니다. 이는 멀웨어가 컴퓨터를 제어하거나 새 코드를 다운로드하지 못하도록 차단할 수 있습니다. 그러나 이것은 구성해야합니다.
  • 방화벽은 차단 한 내용을 기록하도록 구성 할 수 있으며 NAT는 아무것도 차단하지 않으며 기록 할 내용은 없습니다.
  • 방화벽은 특정 IP 주소가 네트워크를 공격하는 것을 차단할 수 있습니다. NAT는 거의 모든 것 (내부 네트의 서버로 포트 전달을 구성)이거나 아무것도 아닙니다.
  • 좋은 방화벽은 속도를 제한하여 일부 DOS 공격을 완화 할 수 있습니다. NAT, 여전히 전부 또는 아무것도.
  • 방화벽 멋진 기능을 한동안 유지하지 않았기 때문에 아마도 다른 멋진 것들 일 것입니다.

따라서 모든 내부 컴퓨터에는 여전히 방화벽이 필요합니다. 손상된 것이 있으면 네트워크의 다른 것을 대신 할 수 있기 때문입니다. 웜, 바이러스, 트로이 목마와 같은 용어는 더 이상 의미가 없다는 것을 기억하십시오. 모든 맬웨어는 큰 페이로드를 다운로드 한 다음 네트워크 내부에서 여러 가지 공격 경로를 사용할 수 있습니다. IE 제로 데이 익스플로잇은 인터넷에서 한 대의 컴퓨터를 손상시키고 모든 것을 중단시킬 수 있습니다.

요점은 특정 방향으로 보안의 하위 집합을 제공하지만 다른 것에 대해 덜 안전하다는 것을 의미하지는 않습니다. 당신은 여전히 ​​다른 모든 것에 대해 모범 사례를 수행해야하므로 대부분의 사람들은 보안을 제공하지 않는다고 말합니다.


답변

기본적으로 NAT는 IPv4 부족 문제에 대한 수정입니다. 부작용으로 방화벽과 같은 기능을 제공하는 내부 시스템에 대한 액세스가 제한됩니다.

내가 사용했던 모든 NAT 라우터 (가정용 전용) 한 에 내장 된 방화벽이 있었다. 요 결정 모든 내부 기계 하나없이 노출되어 있기 때문에 NAT에 여전히 방화벽이 필요합니다.


답변

NAT는 보안 기능이 아닙니다.

이를 스스로 증명하려면 방화벽없이 NAT 라우터를 시각화하십시오. 내부 시스템에서 사용 된 모든 외부 포트는 단순히 열려 있습니다.

이와 같은 NAT 설정은 외부 사용자가 마지막으로 사용한 외부 포트를 통해 내부 포트에 연결할 수 있으므로 보안을 제공하지 않습니다.

사실, NAT 게이트웨이는 추적 할 연결이 없기 때문에 UDP 는 이미 이와 같이 구현되어 있습니다. UDP는 마지막으로 보낸 IP에서 수신하는 것으로 제한되어 있기 때문에 약간 거짓말했습니다. 그러나 NAT를 처음 접했을 때 모든 공급 업체를 놀라게하기 위해 일부 공급 업체는이 점을 제대로 이해하지 못했으며 UDP 포트 전세계에 공개되었습니다.

따라서 NAT 게이트웨이에서 실제 보안을 제공하는 것은 NAT가 아니라 상태 저장 방화벽 입니다.

내가 틀렸다고 주장하는 의견은 방화벽을 NAT 작업과 혼동하는 것을 계속합니다. 그들은 패킷 트리거를 기반으로 포트 매핑을 단순히 할당 한 구형 라우터 (1998’ish)를 사용한 적이 없었습니다. 이 라우터에는 상태 추적 및 방화벽이 없었지만 NAT 구현 하고 있었습니다 . 보안없이. 내 요점은


답변

이 주제는 정말 흥미 롭습니다. Neth에 문의 해 주셔서 감사합니다.

내 생각은 다음과 같습니다. NAT가 보안 기능이라는 것은 실질적인 이점입니다. 주요 목적은 여러 시스템에서 단일 IP를 공유하는 것입니다. 더 저렴한 Comcast 인터넷을 구입할 때와 같은 상황이 있으며, 단일 고정 IP 주소 만 제공합니다. 즉, 여러 시스템을 동시에 온라인 상태로 유지하려면 라우터가 NAT를 통해 시스템을 관리해야합니다.

보안에 대한 두려움은 고맙지 만 위의 모든 사람이 옳습니다. 보안은 NAT 설정이 아닌 방화벽을 기반으로합니다.

보안이 중요한지 살펴볼 흥미로운 / 멋진 옵션이 있습니다.

1) 기본 사항을 먼저 수행하십시오-라우터의 방화벽 설정을 확인하십시오. 가치있는 것이 없다면 구글에서 DD-WRT (오픈 소스 및 $ a $ $ 라우터 OS)로 플래시 할 수 있는지 확인하십시오.

2) 다음을 통해 IP 주소를 추상화하십시오.

이런 종류의 생각은 한동안 계속 될 수 있으므로 지금 여기에 두겠습니다. 온라인으로 자신을 보호하는 속도.


답변

이것은 꽤 주관적입니다.)

내 두 센트 : 네, NAT는 “무료”로 제공되는 부분 방화벽 역할을한다는 점에서 보안을 강화합니다. 그러나 당신은 이미 내 요점을하고 있습니다 : 이것은 단지 실제 방화벽을 필요로합니다. 그러나 이것이 데스크탑 방화벽 이어야한다는 의미는 아닙니다. 많은 상용 IPv4 라우터에는 이미 NAT 위에 방화벽이 있습니다.

라우터에 기능적이고 올바르게 구성된 방화벽이있는 경우 NAT가없는 IPv6 네트워크의 컴퓨터는 여전히 IPv4 (없음)를 사용하는 것보다 많은 포트를 전세계에 열어두고 포트를 전달하는 대신 방화벽 예외를 만들고 있습니다.


답변