क्या NAT सुरक्षा प्रदान करता है?

मैं IPv4-> IPv6 संक्रमण के बारे में चर्चा कर रहा हूं, और IPv6 NAT को पसंद नहीं करता है।

मैंने हमेशा सोचा है कि NAT कुछ सुरक्षा के लिए v4 में सहायक था, मुझे पता है कि यह वास्तव में कंप्यूटरों को छिपाता नहीं है, लेकिन यह उन्हें प्राप्त करने के लिए कठिन बनाता है, निश्चित रूप से NAT के पीछे के कंप्यूटर पर बंदरगाहों तक पहुंच को सीमित करना आसान बनाता है प्रवेश द्वार।

IPv6 विवाद यह है कि यह सुरक्षा प्रदान नहीं करता है, इसके बजाय असली फ़ायरवॉल और गेटवे राउटर का उपयोग किया जाना चाहिए। मुझे अपने पूरे होम नेटवर्क के इंटरनेट पर उजागर होने का विचार पसंद नहीं है।

तो, क्या यह अच्छी या बुरी बात है?

NAT एक निश्चित प्रकार की सुरक्षा की अनुमति देता है, जिसमें आपके नेटवर्क के बाहर के लोग आपके नेटवर्क के अंदर कनेक्शन शुरू नहीं कर सकते। यह कीड़े और मैलवेयर के अन्य वर्गों पर कटौती करता है। इससे कुछ मदद मिलती है।

यह मदद नहीं करता चीजें:

• बाहर से अन्य मैलवेयर। वायरस, ब्राउज़र हाईजैक, ट्रोजन द्वारा ड्राइव।
• अंदर से कोई हमला। यदि किसी भी कंप्यूटर को आंतरिक रूप से समझौता किया जाता है, तो वे आपके अन्य कंप्यूटरों पर मुफ्त लगाम रखते हैं।

यह एक फ़ायरवॉल नहीं है।

• फायरवॉल दोनों दिशाओं में यातायात को अवरुद्ध कर सकता है। यह कंप्यूटर को नियंत्रित करने के लिए कनेक्ट करने से, या नया कोड डाउनलोड करने से मैलवेयर को रोकने में मदद कर सकता है। लेकिन इसे कॉन्फ़िगर करने की आवश्यकता है।
• फायरवॉल्स को लॉग इन करने के लिए कॉन्फ़िगर किया जा सकता है जो वे ब्लॉक करते हैं, NAT कुछ भी ब्लॉक नहीं कर रहा है, लॉग करने के लिए कुछ भी नहीं।
• फ़ायरवॉल आपके नेटवर्क पर हमला करने से विशिष्ट आईपी पते को ब्लॉक कर सकता है। NAT बहुत अधिक है (आप अपने आंतरिक नेट में सर्वर पर पोर्ट अग्रेषण कॉन्फ़िगर करते हैं) या कुछ भी नहीं।
• एक अच्छा फ़ायरवॉल कुछ DOS हमलों को कम करने, सीमा को दर कर सकता है। NAT, अभी भी सभी या कुछ भी नहीं।
• शायद अन्य शांत सामान, क्योंकि मैंने थोड़ी देर में फ़ायरवॉल शांत सुविधाओं के साथ नहीं रखा है।

इसलिए, आपको अभी भी सभी आंतरिक कंप्यूटरों पर फ़ायरवॉल की आवश्यकता है, क्योंकि यदि कुछ भी समझौता किया जाता है, तो यह आपके नेटवर्क में कुछ और ले सकता है। याद रखें कि कीड़े, वायरस, ट्रोजन जैसे शब्द अब ज्यादा मायने नहीं रखते हैं। कोई भी मैलवेयर एक बड़ा पेलोड डाउनलोड कर सकता है और फिर अपने नेटवर्क के अंदर कई हमले वैक्टर का उपयोग कर सकता है। IE शून्य दिन के कारनामे आपके नेट पर एक कंप्यूटर से समझौता कर सकते हैं, और यह सब नीचे ले जा सकते हैं।

तो, मुद्दा यह है, यह एक विशिष्ट दिशा पर सुरक्षा का एक सबसेट प्रदान करता है, लेकिन इसका मतलब यह नहीं है कि आप किसी और चीज़ के बारे में कम सुरक्षित हो सकते हैं। आपको अभी भी सब कुछ के बारे में सर्वोत्तम अभ्यास करने की आवश्यकता है, इसलिए अधिकांश लोग कहते हैं कि यह कोई सुरक्षा नहीं देता है, जो भ्रामक है क्योंकि यह कुछ प्रदान करता है।

मुख्य रूप से, NAT IPv4 की कमी के मुद्दे के लिए एक समाधान है। एक पक्ष के लाभ के रूप में यह आंतरिक मशीनों तक पहुंच को सीमित करता है जो एक फ़ायरवॉल जैसी फ़ंक्शन प्रदान करता है।

मेरे द्वारा उपयोग किए गए सभी NAT राउटर (केवल घरेलू उपयोग) में भी एक फ़ायरवॉल बनाया गया है। यदि आप NAT से निर्णय लेते हैं कि आपको अभी भी फ़ायरवॉल की आवश्यकता नहीं है क्योंकि आपकी सभी आंतरिक मशीनें एक के बिना उजागर हैं।

NAT एक सुरक्षा विशेषता नहीं है।

अपने आप को यह साबित करने के लिए, फ़ायरवॉल के बिना NAT राउटर की कल्पना करें। प्रत्येक बाहरी पोर्ट जो एक आंतरिक मशीन द्वारा उपयोग किया जाता था, बस खुला छोड़ दिया जाता है।

इस तरह एक NAT सेटअप कोई सुरक्षा प्रदान नहीं करेगा क्योंकि बाहर का कोई भी व्यक्ति आपके आंतरिक पोर्ट से आपके द्वारा उपयोग किए गए अंतिम बाहरी पोर्ट से जुड़ सकता है।

तथ्य की बात के रूप में, यूडीपी को पहले से ही इस तरह लागू किया गया है क्योंकि नैट गेटवे को ट्रैक करने के लिए कोई संबंध नहीं है। ठीक है, मैंने थोड़ा झूठ बोला क्योंकि यूडीपी अंतिम आईपी से प्राप्त करने तक सीमित है जिसे भेजा गया था। लेकिन सभी को डराने के लिए, जब NAT नया था तो कुछ विक्रेताओं को यह अधिकार नहीं मिला और UDP पोर्ट दुनिया के लिए खुले थे ।

तो NAT गेटवे में वास्तविक सुरक्षा प्रदान करने वाला NAT नहीं है, बल्कि स्टेटफुल फ़ायरवॉल है ।

यह दावा करने वाली टिप्पणियां कि मैं गलत हूं, NAT ऑपरेशन के साथ फ़ायरवॉल को भ्रमित करता रहा। उन्होंने स्पष्ट रूप से एक पुराने राउटर (1998'ish) के साथ कभी नहीं खेला है जो केवल पैकेट ट्रिगर के आधार पर पोर्ट मैपिंग को असाइन करता है। इन राउटरों के पास कोई राज्य ट्रैकिंग और कोई फ़ायरवॉलिंग नहीं थी, फिर भी वे एनएटी को लागू कर रहे थे । बिना सुरक्षा के। जो मेरी बात है

यह विषय वास्तव में दिलचस्प है - नेथ से पूछने के लिए धन्यवाद।

यहाँ मेरा विचार है - NAT एक सुरक्षा विशेषता है वास्तव में एक स्पर्शरेखा लाभ है। यह मुख्य उद्देश्य कई प्रणालियों में एक एकल आईपी साझा करना है। ऐसे हालात हैं जब आप सस्ता Comcast इंटरनेट खरीदते हैं, वे केवल आपको एक ही स्थिर IP पता देते हैं। इसका मतलब है कि एक साथ कई सिस्टम ऑनलाइन हैं, आपके राउटर को NAT के माध्यम से उन्हें प्रबंधित करना है।

मैं इसके सुरक्षा डर की सराहना करता हूं, लेकिन ऊपर वाला सभी सही है - सुरक्षा आपके फ़ायरवॉल पर आधारित है, आपके NAT सेटअप पर नहीं।

यह देखने के लिए दिलचस्प / शांत विकल्प हैं कि क्या सुरक्षा आपकी चीज़ है।

1) पहले मूल बातें करें - फ़ायरवॉल सेटिंग्स के लिए अपने राउटर की जांच करें। यदि इसके पास कुछ भी सार्थक नहीं है, तो इसे Google करें और देखें कि क्या आप इसे डीडी-डब्ल्यूआरटी (खुले स्रोत और एक $ $ राउटर) को खराब कर सकते हैं।

2) अपने आईपी पते को (ए) अपने सिस्टम पर आभासी मशीन के भीतर कुछ भी चल रहा है (ख) एक प्रॉक्सी सर्वर या सेवा का उपयोग करके एफएफ (सी) के लिए कोकून ऐड-ऑन की तरह स्थापित करना।

इस तरह का विचार कुछ समय के लिए चल सकता है, इसलिए मैं इसे अभी के लिए यहाँ छोड़ दूँगा। खुद को ऑनलाइन बचाने में गॉडस्पीड।

यह बहुत व्यक्तिपरक है;)

मेरे दो सेंट: हाँ, एनएटी सुरक्षा में वृद्धि करता है कि यह एक आंशिक फ़ायरवॉल के रूप में कार्य करता है जो "मुफ्त में" आता है। लेकिन आप पहले से ही मेरी बात बना रहे हैं: यह सिर्फ एक वास्तविक फ़ायरवॉल को आवश्यक बनाता है। लेकिन इसका मतलब यह नहीं है कि इसे डेस्कटॉप फायरवॉल होना चाहिए - कई कमोडिटी IPv4 राउटर पहले से ही NAT के ऊपर एक फ़ायरवॉल के साथ आते हैं।

सब कुछ योग करने के लिए: यदि राउटर पर एक कार्यात्मक, ठीक से कॉन्फ़िगर किया गया फ़ायरवॉल है, तो NAT के बिना IPv6 नेटवर्क पर कंप्यूटर अभी भी दुनिया के लिए उतने ही पोर्ट खोलेंगे जितने IPv4 (कोई नहीं) के साथ थे, और पोर्ट को अग्रेषित करने के बजाय, आप 'फ़ायरवॉल अपवाद बनाना।