[elektro] IP cím

SZIGETI Szabolcs szigiszabolcs at gmail.com
Thu Oct 15 09:45:53 CEST 2015 

Miért is nem?

Két eset lehetséges. Vagy el kell érni egy portot (szolgáltatást kívülről)
vagy nem. Ha NAT-od van, akkor az adott portot ki kell fordítani, tehát ha
NAT publikus címére érkező kérdés a belső gépen fog landolni. Ha valaki a
külső címet támadja, akkor számára úgy tűnik, mintha  a belsőt érné el.
Ha nincs NAT-od, hanem publikus címed, akkor pontosan ugyanez fog kívülről
látszani.
Ha nincs arra szükség, hogy az adott szolgáltatást kívülről elérjék, akkor
pedig egyszerűen a tüzfalon nem kell átengedni az adott /IP-t, portot.
Vagyis kívülről nem lesz elérhető.

Ha a szolgálatónál fut a NAT, az egyedül a szolgáltatónak jó, neked pedig
rossz, legalább két okból. Ha kintről el akarsz érni valamit, nem fog
menni. Igaz, ez a felhasználók nagy részénél nem gond. Másrészt pedig van
olyan dolog, ami nem megy NAT-on keresztül és a szolgáltató a kedvedért nem
fogja átállítani a rendszert, pedig lehet, hogy csak valami NAT
paraméterezés a gond. Pl. Nekem a céges VPN a három mobil szolgáltatóból
csak kettőn megy át.
Szóval az, hogy a NAT biztonságot növelő tényező az nem igaz, hiába kábít
ezzel a szolgáltató. Pontosabban úgy fogalmaznék, hogy nincsen semmi olyan
biztonság növelő tényezője, amelyet pl. tűzfalazással ne tudnál elérni,úgy,
hogy közben a NAT hátrányait viszont nem érzed.

Szabolcs


2015. október 15. 9:16 gyapo írta, <gyapo at freemail.hu>:

> SZIGETI, you wrote:
> SS> A biztonság egy fikarcnyit nem nő, ha kellően jól megnézzük.
>
> Nálam még publikus címet adnak, és át is irányítottam portokat a
> routerben a gépemre, többek között a 21-est is. Aztán egyszer futva
> hagytam az ftp servert, és később látom, hogy 3 másodpercenként
> próbálkozik valaki admin userrel belépni. Mondjuk ha sikerülne neki,
> és elérne valami fontos foldert, akár kárt is okozhatna vagy adatot
> lophatna. Míg a szolgáltató által NAT-olt címmel ez nem megy
> semmiképpen, semmilyen nálam futó servert nem tud elérni kívülről
> ip-címmel. Ez valamelyest növeli a biztonságot.
>
> Üdv.: gyapo
>
> -----------------------------------------
>           elektro[-flame|-etc]

More information about the Elektro mailing list