[elektro] IP cím

SZIGETI Szabolcs szigiszabolcs at gmail.com
Thu Oct 15 11:04:49 CEST 2015 

Nem akarom szétoffolni, de ez nem így van.

Szóval továbbra is fenntartom a véleményemet, hogy a NAT hamis
biztonságérzetet ad, és az, hogy a szolgáltató a szolgáltatás minőségének
rontását azzal próbálja eladni, hogy "biztonságosabb" lesz az ügyfélnek, az
nagyon gáz.

Egyébként számtalan megoldás van a NAT "átfúrására", amit a támadók is
előszeretettel alkalmaznak. Ráadásul pont a NAT visz be egy plusz
komplexitást a rendszerbe, hiszen az alkalmazásoknak meg kell oldani a
NAT-on át működést, amely további hibalehetőséget és támadási felületet
okoz.

Szabolcs


2015. október 15. 10:26 gyapo írta, <gyapo at freemail.hu>:

> SZIGETI, you wrote:
> SS> Két eset lehetséges. Vagy el kell érni egy portot (szolgáltatást
> kívülről)
> SS> vagy nem. Ha NAT-od van, akkor az adott portot ki kell fordítani,
> tehát ha
> SS> NAT publikus címére érkező kérdés a belső gépen fog landolni. Ha
> valaki a
> SS> külső címet támadja, akkor számára úgy tűnik, mintha  a belsőt érné el.
> SS> Ha nincs NAT-od, hanem publikus címed, akkor pontosan ugyanez fog
> kívülről
> SS> látszani.
>
> Ez így van. Van routerem, tehát NAT címe van a gépemnek. Ha el akarom
> érni kívülről ip-címmel, pl. vnc, akkor mintha nem is lenne router, a
> publikus címen az adott port elérhető. Tűzfal nem játszik, mert
> használni akarom a vnc-t. De ezzel egyúttal megnyílt egy támadási
> felület, ami a szolgáltató NAT-jával nincs, igaz, hogy a vnc se megy.
> Tehát csökkentek a lehetőségek és ezzel együtt nőtt a biztonság.
> Szerintem, ha a user nem tud megnyitni egy támadási felületet, az a
> biztonság növekedése.
>
> SS> Ha nincs arra szükség, hogy az adott szolgáltatást kívülről elérjék,
> akkor
> SS> pedig egyszerűen a tüzfalon nem kell átengedni az adott /IP-t, portot.
> SS> Vagyis kívülről nem lesz elérhető.
>
> De szükségem van rá, mert használni akarom a vnc-t. A maximális
> biztonság a netkábel kihúzása, de ez nem opció.
>
> SS> Ha a szolgálatónál fut a NAT, az egyedül a szolgáltatónak jó, neked
> pedig
> SS> rossz, legalább két okból. Ha kintről el akarsz érni valamit, nem fog
> SS> menni. Igaz, ez a felhasználók nagy részénél nem gond. Másrészt pedig
> van
> SS> olyan dolog, ami nem megy NAT-on keresztül és a szolgáltató a
> kedvedért nem
> SS> fogja átállítani a rendszert, pedig lehet, hogy csak valami NAT
> SS> paraméterezés a gond.
>
> Ezt elismerem, rosszabb a NAT mint a publikus ip, de nem erről
> beszélünk, hanem a biztonságról, ami a rosszabb helyzettel együtt nő.
>
> Mi a helyzet a teamviewerrel? Az megy NAT-olt címen is?
>
> Üdv.: gyapo
>
> -----------------------------------------
>           elektro[-flame|-etc]
>

More information about the Elektro mailing list