NATはセキュリティを提供しますか？

IPv4からIPv6への移行についての議論を続けていますが、IPv6はNATを好まないようです。

NATはv4で何らかのセキュリティに役立つといつも思っていました。コンピュータを実際に隠すことはできませんが、アクセスするのが難しくなります。ゲートウェイ。

IPv6の競合は、セキュリティを提供せず、代わりに実際のファイアウォールとゲートウェイルーターを使用する必要があることです。私は、ホームネットワーク全体がインターネットに公開されるという考えが好きではありません。

それで、これは良いことですか、悪いことですか？

NATを使用すると、特定の種類のセキュリティが許可されます。これは、ネットワークの外部の人々がネットワークの内部への接続を開始できないという点です。これにより、ワームやその他の種類のマルウェアが削減されます。これは一部に役立ちます。

役に立たないこと：

• 外部からのその他のマルウェア。ウイルス、ブラウザハイジャック、トロイの木馬による駆動。
• 内部からの攻撃。内部で侵害されたコンピューターがある場合、他のコンピューターを自由に操作できます。

ファイアウォールではありません。

• ファイアウォールは両方向のトラフィックをブロックできます。これにより、マルウェアが制御コンピューターに接続したり、新しいコードをダウンロードしたりするのを防ぐことができます。しかし、これは設定する必要があります。
• ファイアウォールは、ブロックするものをログに記録するように設定できますが、NATは何もブロックせず、記録するものは何もありません。
• ファイアウォールは、特定のIPアドレスがネットワークを攻撃するのをブロックできます。NATはほとんどすべて（内部ネットのサーバーへのポート転送を構成する）または何もありません。
• 優れたファイアウォールはレート制限を行うことができ、一部のDOS攻撃を緩和できます。NAT、まだすべてまたは何もない。
• 私はしばらくの間ファイアウォールのクールな機能に追いついていないので、おそらく他のクールなもの。

そのため、すべての内部コンピューターにファイアウォールが必要です。これは、何かが侵害された場合、ネットワーク内の他のものを引き継ぐ可能性があるためです。ワーム、ウイルス、トロイの木馬などの用語はもはや意味がないことを忘れないでください。マルウェアは大きなペイロードをダウンロードし、ネットワーク内で複数の攻撃ベクトルを使用する可能性があります。IEのゼロデイ攻撃は、ネット上の1台のコンピューターを危険にさらし、すべてを破壊する可能性があります。

だから、ポイントは、特定の方向にセキュリティのサブセットを提供するということですが、それはあなたが他のことについて安全性が低くなることを意味しません。あなたはまだ他のすべてについてベストプラクティスを実行する必要があるので、ほとんどの人はセキュリティを提供しないと言います。

主に、NATはIPv4不足の問題の修正です。副次的な利点として、ファイアウォールのような機能を提供する内部マシンへのアクセスを制限します。

私が使用したすべてのNATルーター（家庭での使用のみ）にもファイアウォールが組み込まれています。NATを使用しない場合、内部マシンはすべてファイアウォールなしで公開されるため、ファイアウォールが必要です。

NATはセキュリティ機能ではありません。

これを自分で証明するには、ファイアウォールなしでNATルーターを視覚化します。内部マシンで使用されたすべての外部ポートは、単に開いたままになります。

このようなNAT設定では、外部の誰もが最後に使用した外部ポートを介して内部ポートに接続できるため、セキュリティは提供されません。

実際のところ、NATゲートウェイが追跡する接続がないため、UDP は既にそのように実装されています。さて、UDPは最後に送信されたIPからの受信に制限されているため、少し嘘をつきました。しかし、すべての人を怖がらせるために、NATが新しかったときに戻って、一部のベンダーはこれを正しく行わず、UDPポートは世界に開かれていました。

したがって、NATゲートウェイで実際のセキュリティを提供するのはNATではなく、ステートフルファイアウォールです。

私が間違っていると主張するコメントは、ファイアウォールとNAT操作を混同し続けています。パケットトリガーに基づいてポートマッピングを単純に割り当てた古いルーター（1998'ish）を使用したことはありません。これらのルーターには状態追跡もファイアウォールもありませんでしたが、NAT を実装していました。セキュリティなし。私のポイントです。

このトピックは本当に興味深いです-Nethにお問い合わせいただきありがとうございます。

ここに私の考えがあります-セキュリティ機能であるNATは、実際には接線上の利点です。主な目的は、複数のシステムで単一のIPを共有することです。安価なComcastインターネットを購入すると、静的IPアドレスが1つしか与えられないという状況があります。つまり、複数のシステムを同時にオンラインにするには、ルーターがNATを介してそれらを管理する必要があります。

セキュリティに対する恐れを認識していますが、上記のすべての人は正しいです。セキュリティは、NATセットアップではなく、ファイアウォールに基づいています。

セキュリティがあなたのものかどうかを調べる興味深い/クールなオプションがあります。

1）最初に基本を実行します-ルーターのファイアウォール設定を確認します。価値のあるものがない場合は、グーグルで検索し、DD-WRT（オープンソースで不良なa $$ルーターOS）でフラッシュできるかどうかを確認します。

2）（a）システム上の仮想マシン内でプライベートなものを実行する（b）FFのCocoonアドオンのようなプロキシサーバーまたはサービスを使用する（c）Torのインストール

この種の考えはしばらく続くことがあるので、今のところここに置いておきます。オンラインで身を守るゴッドスピード。

これはかなり主観的です;）

私の2セント：はい、NATは「無料」で提供される部分的なファイアウォールとして機能するという点でセキュリティを強化します。しかし、あなたはすでに私の主張を述べています。これは、実際のファイアウォールを必要とするだけです。しかし、それはデスクトップファイアウォールでなければならないという意味ではありません。多くのコモディティIPv4ルーターには既にNATの上にファイアウォールが付いています。

すべてをまとめると：ルーターに機能的で適切に構成されたファイアウォールがある場合、NATを使用しないIPv6ネットワーク上のコンピューターは、IPv4（なし）の場合と同じ数のポートを世界中に開いたままにし、ポートを転送する代わりに、 'ファイアウォールの例外を作成しています。