Acabo de comprar un nuevo enrutador y, como de costumbre, el fabricante del enrutador hace un gran problema con el firewall.
Nunca he entendido por qué se necesita el firewall, claro, detener los ataques de dos (como syn-floods) es genial, pero esa es la única cosa útil en la que puedo pensar.
Mientras los servicios que expongo a la interfaz externa (al agregar manualmente las entradas nat) no tengan vulnerabilidades sin parches, ¿no está mi lan seguro contra agentes externos?
Por favor, lea las siguientes preguntas anteriores:
¿Cómo puede alguien piratear mi PC si me estoy conectando a Internet a través de NAT?
¿Qué tipo de ataques contra el NAT del enrutador doméstico existen?
Responden a todas tus preguntas.
La versión corta es:
NAT no implica automáticamente que todas las conexiones entrantes estén bloqueadas . NAT y los cortafuegos son, en principio, ortogonales. En general, la mayoría de las cajas NAT también brindan una protección similar a un firewall: tienden a bloquear las conexiones entrantes. Esto no es una propiedad inherente o necesaria de NAT; es solo que la mayoría de los dispositivos de consumo que proporcionan NAT también ofrecen este tipo de firewall también.
El bloqueo de las conexiones entrantes (ya sea que desee atribuirlo a la funcionalidad de firewall o la funcionalidad NAT) proporciona un nivel básico de defensa que funciona bastante bien contra una clase común de ataques. Eso lo convierte en algo bueno.
No, ni un firewall ni un NAT implican que su red es totalmente segura contra agentes externos. El bloqueo de las conexiones entrantes proporciona un nivel de defensa contra ciertos ataques, pero no significa de ninguna manera todos los ataques.
Pero realmente necesitas leer las respuestas anteriores. No voy a repetir todos los excelentes puntos hechos allí.
Usted, en efecto, ya tiene un (corta forma de) firewall al confiar en la traducción de la dirección del puerto. Supongo que realmente está haciendo la traducción de la dirección del puerto por el contenido de su publicación. La pregunta que está haciendo es por qué necesito un firewall para mi firewall. Si tiene traducción de direcciones de red, no solo está exponiendo servicios específicos a la interfaz externa. Estaría exponiendo una IP externamente, por lo que no tendrá control sobre a qué servicios se puede acceder.
Entonces, para responder a su pregunta, si está realizando una traducción de la dirección del puerto y está exponiendo solo servicios específicos parcheados a Internet, ¿por qué necesita un firewall? Usted no.
Si está preguntando por qué debería restringir qué puertos y direcciones se pueden enrutar directamente desde Internet a mi red, bueno ... realmente no puedo ayudarlo allí.
Hay una gran diferencia entre NAT / PAT y un firewall capaz de realizar una inspección de paquetes con estado.
Un firewall decente puede realmente saber si un paquete entrante no fue solicitado o si fue solicitado por un host interno, esto mantendrá alejado el tráfico no deseado de los escáneres de puertos y otros intentos de intrusión.
También son conscientes del protocolo y pueden manejar cosas como el tráfico de FTP, que comienza en el puerto 21 pero luego escucha en puertos de nivel superior aleatorio.
También pueden proporcionar otros servicios como VPN, filtrado de contenido y pueden registrar el tráfico para fines de auditoría.