Существует веб-сайт, который заблокировал подсеть интернет-провайдера (поскольку атаки исходили из этой сети).
Интернет-провайдер предоставляет своим пользователям только IP-адреса с NAT, поэтому клиенты получают IP-адреса 10.x.x.x на своих маршрутизаторах.
Я попросил интернет-провайдера прекратить это (предоставлять клиентам IP-адреса с NAT) или использовать IPv6 или позвонить человеку, который совершил атаку, чтобы переустановить его рабочий стол, поскольку он, вероятно, заражен вирусом.
Интернет-провайдер ответил: Использование NAT из соображений безопасности.
Может кто-нибудь объяснить, как NAT делает сеть более безопасной? AFAIK NAT не был разработан для обеспечения безопасности.
На мой взгляд, хотя это не ложь, это неправда, и любой, кто заявляет об этом, не понимает, почему должен быть тщательно исследован на предмет признаков змеиного масла.
В свое время межсетевые экраны (когда они существовали) были простыми устройствами для проверки пакетов. Они будут принимать решение о пересылке или отбрасывании пакета исключительно на основе характеристик. самого пакета. Вы могли бы сказать "этот пакет поступает с TCP-порта 80, для него установлены флаги SYN и ACK, так что это (скорее всего) ответ веб-сервера на начальную попытку TCP-соединения, поэтому позвольте ему.
Значительным улучшением безопасности брандмауэра стал сохранный брандмауэр. У него была память о потоках трафика до рассмотрения любого данного пакета, который использовался для информирования о решении об этом пакете.
Для брандмауэра с отслеживанием состояния можно было бы вместо этого сказать "этот пакет поступает с TCP-порта 80, а исходный адрес и порт соответствуют адресу назначения и порту TCP SYN-пакета, который прошел через меня около 75 мс назад, поэтому это ответ веб-сервера на первоначальную попытку TCP-соединения, которая началась надежная сеть, так что впустите ее. Или вы можете посмотреть ICMP echo-reply, и разрешить его, только если он соответствует недавнему echo-request к определенному внешнему серверу. И так далее.
Суть межсетевых экранов NATting они неявно сохраняют состояние. Потому что весь трафик изнутри наружу должен быть перемаркированным с новым адресом источника до того, как Интернет получит возможность ответить на него, трафик может течь извне внутрь, только если брандмауэр имеет запись о том, какая конкретная внутренняя машина недавно отправила некоторый трафик для генерации ответа. Если брандмауэр не имеет такой записи, он не может перезапишите IP-адрес назначения входящего пакета, потому что он не имеет ни малейшего представления, на какой внутренний адрес его переписать.
Таким образом, я считаю, что межсетевые экраны с отслеживанием состояния более безопасны, чем межсетевые экраны без отслеживания состояния, и все межсетевые экраны с NAT неявно поддерживают состояние. Конечно, любой другой брандмауэр, который я видел за последнее десятилетие, также поддерживает состояние, если брандмауэр без NAT не очень плохо настроенный, он тоже предлагал аналогичную безопасность. Я никогда не встречал никаких анализов, которые подсказывали бы мне, что NAT имеет какие-либо преимущества безопасности, кроме неявной сохранности состояния.
NAT более безопасен, потому что, если порты специально не перенаправлены, просто нет маршрута к хостам, стоящим за ним. Брандмауэр, который блокирует по умолчанию, может обеспечить тот же уровень, поэтому аргумент против NAT состоит в том, что он не обеспечивает дополнительный безопасность, однако это предполагает наличие хорошо управляемого брандмауэра.
С практической точки зрения, избавление от людей с троянами за NAT, вероятно, в какой-то мере эффективно и требует значительно меньше ресурсов, чем попытка фильтровать весь их трафик. Многие вещи можно использовать не по первоначальному замыслу. Интернет не готов к IPv6, так что ни это, ни звонки не являются жизнеспособным решением. Кроме того, поскольку адреса IPv4 заканчиваются, совместное использование адресов через NAT, вероятно, является тем, что они ищут оправдания. (у них нет стимула вкладывать средства в IPv6, когда есть более дешевая альтернатива)