NAPT的安全利益
从IPv4到IPv6的过渡势必会迫使很多企业重新思考他们对于网络所做的安全措施。其结果将是,从获得确定的安全证实之前认定所有进入的信息流量均不安全这种做法,趋向一种"偏执的开放性"策略。
很多企业可能会考虑延迟加入下一代IPv6互联网协议的时间,因为第一个吃螃蟹的人总是得不到什么好处。但是,停留于IPv4免费的IP地址中高枕无忧的日子最终还是会走到头的。届时,所有人都将步入到IPv6的世界中去,它将提供128位地址(取代IPv4的32位地址),其结果是惊人的2^128个不同的可用IP地址。这个数字足以为地球表面的每个原子分配一个唯一的IP地址,更不用说让每台连接到网络的服务器、台式电脑、笔记本、智能手机、网络摄像头和任何其它连接到企业网络中的设备享受一个单独的IP地址了。这种点对点的IPv6连接对许多企业所带来的巨大好处将不言而喻。
NAPT的安全利益
在考虑它的安全含义以前,让我们先来看看IPv4中网络安全措施的关键部分。通常,一个企业在它内部的局域网(LAN)中会有一系列机器,所有这些机器都设有本地的IP地址。它们位于防火墙之后,并且共享有限的几个使用网络地址转换(NAT)的公共IP地址,或者更准确地说,使用网络地址端口转换(NAPT)。这里当然也存在入侵防御系统(IPS)来处理5、6、7层的攻击,而这种防御措施也可能是一个应用防火墙。
NAPT的好处在于它能够为所有在公司局域网内的设备提供足够多的私人IP地址,同时能够保证这些设备的安全。这是因为在局域网中的设备的地址都不能被任何防火墙之外的人篡改。此外,由于在防火墙内的每台设备对于外部攻击者来说都"不可见",所以想要袭击他们并不容易。攻击者只有通过内部网络才可以进行网络扫描,然后基于其拓扑架构和潜在的攻击弱点形成一个入侵想法。
不论如何,这些都是传统的思维,但是NAPT真的能够提供足够的安全吗?不可否认,它的确可以阻止来自外部的连接尝试,但是也无异于一个状态性防火墙。任何情况下,都有办法可以绕过NAPT然后通过私人IP地址登陆机器,例如,像Skype那样使用反向隧道工具。
就掩藏位于防火墙之后的网络拓扑结构而言,类似于计数ID领域、TCP协议的时间戳机制或者电子邮件RC822都可以帮助攻击者看清你的网络设置。
还有一点值得注意的是,NATP很难进行网络取证,让你不知道哪台设备负责何种外部活动。很多类型的攻击(比如网络钓鱼)实际上是神不知鬼不觉地始于防火墙内部用户自己进行的恶意软件下载。NAPT对此则束手无策。一旦电脑遭到恶意软件的破坏,那么攻击者就很容易使用网络侦查工具(比如Nmap)从内部浏览你的网络了。
网友评论