Hlavní navigace

Názor k článku Homenet: IPv6 v domácích sítích od Filip Jirsák - Diskuse začínala tím, že NAT přináší určitou bezpečnost,...

Článek je starý, nové názory již nelze přidávat.

  • 5. 6. 2012 12:22

    Filip Jirsák

    Diskuse začínala tím, že NAT přináší určitou bezpečnost, tudíž domácí síť s veřejnými IPv6 adresami bez NATu bude nezabezpečená. Když to spojím s vaším tvrzením, že v realitě se dnes pro IPv4 zpravidla vyskytuje kombinace NAT+FW, kde NAT nemá bezpečnostní funkci, dostáváme se konečně k tomu, že odstraněním NATu se bezpečnost nijak nesníží.

    Rozumně nastavený FW nemá blokovat nic, o čem neví, k čemu to je. Klasické SOHO firewally mají jedinou bezpečnostní funkci – očekávat, že za nimi je děravý nebo špatně nakonfigurovaný software, u kterého není jiná možnost, než komunikaci zastavit dřív, než se k tomu software dostane. Správné řešení je tedy opravit ten software. Jinými slovy – až Windows v základním nastavení nebudou děravé, SOHO firewally vůbec nebudou potřeba. Než toho MS docílí, stačí, aby firewally blokovaly ty notoricky známé notoricky děravé služby. Nic víc od nich není potřeba. Pak samozřejmě nikdo nebude mít důvod takový firewall vypínat a příchozí komunikace bude fungovat, tak jak má, tedy bez nějakého nastavování.

    Pokud musí neznalý uživatel přenastavovat NAT, má samozřejmě spoustu možností, jak to zkazit. Velice snadno může bezpečnost snížit – na firewallu může mít zakázaný přístup z venku k domácímu NAS, ale přes NAT ho omylem otevře světu.