Da ne boš širil polresnic: “Enterprise” NAT (kjer NAT uporablja za prevajanje source IN destination naslov in port) je natanko tako varen kot stateful packet inspection.
Odločitev ali je to zadosti, je stvar posameznika. Res pa je, da škatle ki jih za 50€ dobiš zraven pralnega praška delajo drugačen NAT, ki je varnostno res samo pesek v oči.
Deloma se strinjam… a če mene vprašaš, bi morali počasi vso to “90’s” kramo (NAT, statefull firewalls, etc…) počasi zamenjati za L7 deep packet inspection mehanizme, kjer porti in ostali skoraj nepomembni podatki skoraj niso več pomembni – pomembno je kaj se v paketih skriva in kaj to za uporabnika pomeni. IPv4 ali IPv6? Škatli “vmes” mora biti vseeno.
BTW, ene par idej imam spet, morava spet na coffee. Se bova po mailu zmenila.
Časi firewallov in acc. list so mimo torej gledanja samo headerjev (source/dest port,ip) paketka.. nas dandanes zanima bolj payload del paketka, ker preprosto prideš do točke kjer določenih portov ne moreš blokirat za ves traffic (25,53,80,..), ampak problem nastopi pri večina podjetjih oz. državnih institucij, da se “stari mački”, ki administrirajo omrežja tega ne zavedajo..
Jan, odličen blogpost. Lep indikator, da NAT ni varnostni varnostni mehanizem temveč translacijski je ravno IPv6. V IPv6 svetu ni potrebe za NAT, ostali varnosti mehanizni (the real ones) pa so še vedno tu (firewall, IPS/IDS, IPsec…).
Da ne boš širil polresnic: “Enterprise” NAT (kjer NAT uporablja za prevajanje source IN destination naslov in port) je natanko tako varen kot stateful packet inspection.
Odločitev ali je to zadosti, je stvar posameznika. Res pa je, da škatle ki jih za 50€ dobiš zraven pralnega praška delajo drugačen NAT, ki je varnostno res samo pesek v oči.
Deloma se strinjam… a če mene vprašaš, bi morali počasi vso to “90’s” kramo (NAT, statefull firewalls, etc…) počasi zamenjati za L7 deep packet inspection mehanizme, kjer porti in ostali skoraj nepomembni podatki skoraj niso več pomembni – pomembno je kaj se v paketih skriva in kaj to za uporabnika pomeni. IPv4 ali IPv6? Škatli “vmes” mora biti vseeno.
BTW, ene par idej imam spet, morava spet na coffee. Se bova po mailu zmenila.
Časi firewallov in acc. list so mimo torej gledanja samo headerjev (source/dest port,ip) paketka.. nas dandanes zanima bolj payload del paketka, ker preprosto prideš do točke kjer določenih portov ne moreš blokirat za ves traffic (25,53,80,..), ampak problem nastopi pri večina podjetjih oz. državnih institucij, da se “stari mački”, ki administrirajo omrežja tega ne zavedajo..
Lp, Sebastjan Štucl
Sebastjan, good point. A vseeno, samo govoriti o tem ne bo dovolj…
Jan, odličen blogpost. Lep indikator, da NAT ni varnostni varnostni mehanizem temveč translacijski je ravno IPv6. V IPv6 svetu ni potrebe za NAT, ostali varnosti mehanizni (the real ones) pa so še vedno tu (firewall, IPS/IDS, IPsec…).