¿NAT proporciona seguridad?

12

Estoy siguiendo discusiones sobre la transición de IPv4-> IPv6, y parece que a IPv6 no le gusta NAT en absoluto.

Siempre pensé que NAT era útil en v4 para un poco de seguridad, sé que en realidad no oculta las computadoras, pero las hace más difíciles de acceder, ciertamente facilita limitar el acceso a los puertos en las computadoras detrás de NAT puerta.

El argumento de IPv6 es que no proporciona seguridad, sino que se deben usar firewalls y enrutadores de puerta de enlace reales. No me gusta la idea de que toda mi red doméstica esté expuesta en Internet.

Entonces, ¿es esto algo bueno o malo?

security ipv6 nat ipv4 Neth
fuente
66
No diría que la traducción de direcciones de red se trata principalmente de seguridad. Se trata de permitirle tener una única dirección IP externa, que puede traducirse internamente a una red completa, en su propio rango de IP y subredes. Seguro que tiene beneficios, pero lo veo más como una "solución" a la escasez de IPv4.
Aparte del hecho de que casi todo con NAT tiene algo parecido a un firewall, son bastante similares. NAT generalmente (IIUC) desconecta las conexiones a un puerto que no se abrió para enviar y, por lo tanto, lo hace más seguro de esa manera.
tobylane
1
ESPERE, ¿eso significa que cada computadora en su red recibirá un IPV6 público? Quiero decir, tenemos suficientes IPV6 para hacer eso, así que ... ¿Las personas solo obtienen un rango de IPV6 con su paquete de Internet? Además, si esto es cierto, eso le da a los ISP la posibilidad de limitar la cantidad de computadoras que puede tener en su red cuando el enrutador no exhibe explícitamente NAT. Seguro espero eso. Leí mal probablemente.
sinni800
1
Consulte estas preguntas sobre serverfault para obtener respuestas más detalladas técnicamente. serverfault.com/questions/63704/nat-as-a-firewall serverfault.com/questions/184524/…
Zoredache
No. Ver youtube.com/watch?v=v26BAlfWBm8
Restablecer Monica - M. Schröder

Respuestas:

6

NAT permite un cierto tipo de seguridad, ya que las personas fuera de su red no pueden iniciar conexiones al interior de su red. Esto reduce los gusanos y otras clases de malware. Esto ayuda a algunos.

Cosas que no ayudan:

  • Otro malware del exterior. Virus, manejo por secuestradores de navegador, troyanos.
  • Cualquier ataque desde el interior. Si alguna computadora está comprometida internamente, tienen rienda suelta en sus otras computadoras.

Es no un servidor de seguridad.

  • Los cortafuegos pueden bloquear el tráfico en ambas direcciones. Esto puede ayudar a evitar que el malware se conecte a las computadoras de control o descargue un nuevo código. Pero esto necesita ser configurado.
  • Los cortafuegos se pueden configurar para registrar lo que bloquean, NAT no está bloqueando nada, nada para registrar.
  • Los firewalls pueden bloquear direcciones IP específicas para que no ataquen su red. NAT es prácticamente todo (configura el reenvío de puertos a un servidor en su red interna) o nada.
  • Un buen firewall puede calificar el límite, mitigando algunos ataques de DOS. NAT, todavía todo o nada.
  • Probablemente otras cosas interesantes, ya que no he estado al día con las características interesantes del firewall en mucho tiempo.

Entonces, aún necesita firewalls en todas las computadoras internas, porque si algo se ve comprometido, puede hacerse cargo de cualquier otra cosa en su red. Recuerde que términos como gusanos, virus, troyanos ya no significan mucho. Cualquier malware puede descargar una gran carga útil y luego usar múltiples vectores de ataque dentro de su red. Los exploits de día cero de IE pueden comprometer una computadora en su red y eliminarlo todo.

Entonces, el punto es que proporciona un subconjunto de seguridad en una dirección específica, pero no significa que pueda estar menos seguro sobre cualquier otra cosa. Todavía necesita hacer las mejores prácticas sobre todo lo demás, por lo que la mayoría de la gente dice que no brinda ninguna seguridad, lo cual es confuso porque proporciona algo.

Rich Homolka
fuente
Estoy de acuerdo en que NAT no es un cortafuegos, pero creo que le sería muy difícil encontrar un dispositivo que sea capaz de NAT y que no pueda hacer el filtrado de paquetes L3 si tuviera un buen nivel de acceso al núcleo. Casi todos los dispositivos que realizan NAT en estos días lo hacen como parte del filtro de paquetes con estado (es decir, firewall).
Zoredache
5

Principalmente, NAT es una solución para el problema de escasez de IPv4. Como beneficio adicional, limita el acceso a las máquinas internas que proporcionan una función similar a un firewall.

Todos los enrutadores NAT que he usado (solo para uso doméstico) también tienen un firewall incorporado. Si decide no usar NAT, aún necesita un firewall porque todas sus máquinas internas están expuestas sin uno.

Chris Nava
fuente
3

NAT no es una característica de seguridad.

Para probarlo, visualice un enrutador NAT sin firewall. Cada puerto externo que fue utilizado por una máquina interna simplemente se deja abierto.

Una configuración NAT como esta no proporcionaría seguridad porque cualquier persona en el exterior podría conectarse a sus puertos internos a través del último puerto externo que utilizó.

De hecho, UDP ya está implementado así porque no hay conexión para que la puerta de enlace NAT pueda rastrear. De acuerdo, mentí un poco porque el UDP se limita a recibir desde la última IP a la que se envió. Pero para asustar a todos, cuando NAT era nuevo, algunos proveedores no acertaban y los puertos UDP estaban abiertos al mundo.

Entonces, lo que proporciona la seguridad real en una puerta de enlace NAT no es la NAT sino el firewall con estado .

Los comentarios que afirman que estoy equivocado siguen confundiendo el firewall con la operación NAT. Obviamente, nunca han jugado con un enrutador anterior (1998) que simplemente asignaba la asignación de puertos en función de un activador de paquetes. Estos enrutadores no tenían seguimiento de estado ni cortafuegos, pero estaban implementando NAT. Sin seguridad Cual es mi punto.

Zan Lynx
fuente
Solo podrían conectarse a los puertos del enrutador. Salvo las entradas NAT para las conexiones entrantes, no hay enrutamiento a los servidores internos.
BillThor
@BillThor: No. Estás pensando en el firewall. ¿Por qué crees que una caja NAT pura no se enrutaría a servidores internos?
Zan Lynx
No hay conexión para que la puerta de enlace NAT realice un seguimiento . Esta afirmación es extremadamente incorrecta. NAT funciona específicamente porque se realiza el seguimiento con estado. No puede tener traducción de dirección de puerto sin un estado de conexión de seguimiento. Las traducciones TCP NAT son fáciles de rastrear desde un SYN, y el paquete FIN marca el inicio y el final de una conexión. Las traducciones UDP se agotan rápidamente después de un corto período de inactividad.
Zoredache
1
@ Zoredache: En realidad estás equivocado. NAT no requiere seguimiento de estado. Las primeras versiones de NAT asignaron un puerto entrante en función del tráfico saliente y simplemente mantuvieron esa asociación hasta que se alcanzó un tiempo de espera. Esta asignación de puerto tampoco necesitaba filtrar las IP de origen entrantes, pero aceptaría cualquier tráfico entrante y lo enrutaría a la red interna. No sé por qué las personas continúan rechazándome por esto.
Zan Lynx
2

Este tema es realmente interesante, gracias por preguntarle a Neth.

Este es mi pensamiento: el hecho de que NAT sea una característica de seguridad es realmente un beneficio tangencial. Su objetivo principal es compartir una sola IP a través de múltiples sistemas. Hay situaciones en las que cuando compra Internet más barato de Comcast, solo le dan una única dirección IP estática. Eso significa tener varios sistemas en línea simultáneamente, su enrutador debe administrarlos a través de NAT.

Aprecio el miedo a la seguridad, pero todos los anteriores tienen razón: la seguridad se basa en su firewall, no en su configuración NAT.

Hay opciones interesantes / interesantes para considerar si la seguridad es lo tuyo.

1) Primero haga lo básico: verifique la configuración del firewall en su enrutador. Si no tiene nada que valga la pena, búscalo en Google y ve si puedes flashearlo con DD-WRT (código abierto y un mal sistema operativo de enrutador $$).

2) Resuma su dirección IP a través de (a) Ejecutando cualquier cosa privada dentro de una máquina virtual en su sistema (b) usando un servidor proxy o servicio como el complemento Cocoon para FF (c) Instalación de Tor.

Este tipo de pensamiento puede continuar por un tiempo, así que lo dejaré aquí por ahora. Buena velocidad para protegerse en línea.

mbb
fuente
0

Esto es bastante subjetivo;)

Mis dos centavos: Sí, NAT aumenta la seguridad, ya que actúa como un firewall parcial que viene "gratis". Pero ya estás haciendo mi punto: esto solo hace que sea necesario un verdadero firewall. Pero eso no significa que tenga que ser firewall de escritorio : muchos enrutadores IPv4 ya vienen con un firewall en la parte superior de NAT.

Para resumir todo: si hay un cortafuegos funcional y configurado correctamente en el enrutador, las computadoras en una red IPv6 sin NAT seguirán teniendo tantos puertos abiertos al mundo como con IPv4 (ninguno), y en lugar de reenviar puertos, estamos haciendo excepciones de firewall.

Tobias Plutat
fuente