¿Cómo protege NAT exactamente una red? ¿Cómo se relaciona con un firewall?
¿Cómo protege NAT exactamente una red? ¿Cómo se relaciona con un firewall?
NAT actúa como un firewall con una política de "denegación predeterminada" para paquetes entrantes no solicitados, pero no otras reglas.
Debido a que las máquinas detrás de un cuadro NAT no son direccionables directamente (generalmente porque tienen direcciones IP privadas), las máquinas en Internet en general no pueden enviarles paquetes IP directamente. En su lugar, todos los paquetes se enviarán a la dirección del cuadro NAT, y el cuadro NAT mira sus registros para ver a qué paquete saliente responde un paquete entrante, para decidir a qué dirección interna se debe reenviar el paquete. Si el paquete no responde a un paquete saliente, no hay un registro coincidente y el cuadro NAT descarta el paquete.
NATing bloquea los paquetes entrantes en función de si forman parte de una conexión establecida, no de su dirección IP o protocolo.
Si hay una conexión establecida, el paquete se reenvía a la dirección real. Si no, se cae.
Para los protocolos sin conexión, donde no hay un concepto de una conexión establecida (por ejemplo, UDP), se permiten paquetes si parecen ser parte de una conversación en curso. Esto es necesariamente un poco de un kludge.
NATing no es solo para direcciones privadas, aunque las direcciones privadas no serían muy útiles sin NATing.
NAT es permitir todo hacia afuera, permitir solo las sesiones establecidas hacia adentro.
Para la PC de un usuario, esto puede ser aproximadamente lo que quieres, pero para un servidor, generalmente no lo es.
Para un servidor, normalmente necesita conexiones entrantes en algunas combinaciones de puerto / protocolo conocidas. (por ejemplo, https / http a los puertos 443 y 80 para un servidor web, smtp al puerto 25 para correo, etc.). No todos los cortafuegos pueden distinguirse hasta el nivel de protocolo, pero algunos sí pueden.
Y dependiendo de lo que se encuentre dentro del firewall, probablemente no quiera permitir todas las conexiones salientes, solo las conexiones con un propósito comercial legítimo. Por ejemplo, si no hace negocios con Nigeria, ¿quiere que sus servidores se conecten a Nigeria?
Los días han pasado cuando podemos decir afuera = no confiado, dentro = confiable. En estos días, es más como afuera = activamente_hostil, por dentro = dudoso. Si (cuando) algo entra dentro de la red, queremos que sea un poco difícil para que se conecte nuevamente a su controlador, y queremos darnos la oportunidad de detectar que hay algo dentro, que golpea el firewall. p>
NATing solo no nos da nada de eso.
Es útil. A veces puede ser suficiente, tal vez. Ciertamente es mejor que nada. Pero no es un firewall completo.