Přirovnání pokulhává. NAT (maškaráda) je jen překlad adres. Nic víc, nic méně. Bezpečnostní bariéra je nulová. Narozdíl od fyzické garáže. Pokud někdo chce skrýt interní implementaci, má k disposici proxy (afaik v OOP existuje návrhový vzor proxy přesně k tomuto účelu). Od bezpečnosti sítě je zde packetový filter, chcete-li firewall. Pojmy jako externí a interní firewall nechápu. Firewall prostě komunikaci propustí nebo ne, je jedno, kde je umístěn. Asi je tím myšlen fw umístěný na routeru (kde být může a nemusí) a přímo na síťovém hostu (kde být může a nemusí).
Bavit se o NATu a neNATU jako o přípustném riziku mi přijde takové... Prostě síť je o peer to peer komunikaci a Internet vznikl jako síť propojující sítě a přinesl tak možnost globální peer to peer komunikace (lokální tu byla od počátku). Bez ohledu na možnost si tu komunikaci filtrovat firewallem. To není popření globální komunikace.....
Ano interní jsem myslel v koncovém komunikačním uzlu (host firewall). Externí jako síťový/network firewall.
No a v tom se budete hádat s zastánci NATu. Symetrický nat, který právě bývá často zmiňován jako součást bezpečnosti, má 2 výhody
a. není možné poznat jednoduše určit kolik uzlů jakého druhu je v síti pouze podle komunikace (pomiňme vyzrazení pomocí aplikací na hostu)
b. když NAT přestane dělat svou funkci, není to (možná) takové riziko než když přestane dělat svoji funkci FIREWALL
2.
Na druhou stranu vzledem ke způsobu realizace většiny útoků na koncové stanice, není NAT bezpečnostním opatřením, protože napadnout koncového uživatele lze přes spojení které otevře sám zevnitř sítě.
Co se týče mého srovnání s garáží, tak faktor symetrického natu přirovnávám k zamčení, faktor neprůhlednosti vrat k skrytí vnitřku garáže, ale uznávám, že nemusí to srovnání být úplně košér, nebudu zde dále příkladovat, ohledně toho skrývání se doporučuji podívat na tento článek který polemizuje často zmiňované obscurity is not security.:
http://packetpushers.net/obscurity-security-realitys mnoha body v něm souhlasím.
Dalším argumentem který se objevuje je otázka migrace adres, které se díky NATU dá realizovat, a ke kterému prý pro velké firmy není adekvátní náhrada v IPv6.. ale to je na další dlouhý flame, protože jedna strana tvrdí, že nástroje jsou a druhá, že nejsou "stejné" jako NAT. Nicméně vzhledem k změnám na síti při změně adres i toto beru jako možné bezpečnostní riziko vzhledem k lidskému faktoru.
Posledním argumentem který chci zmínit je statický překlad podle portu. Zaslechl jsem argument, že tím, že běží na jedné adrese víc služeb a tyto služby mohou být reálně na různých mašinách, tak se dos útok na stroj poskytující konkrétní službu může minou účinkem (například jedna adresa poskytuje službu http a zároveň sql, útokem na sql schodím sql server a ne http server, o čemž do chvíle útoku útočník nemusí vědět a tím získám informaci o útočníkovi v době kdy neohrožuje službu, na kterou měl původně zálusk). V tomto použití si osobně nemyslím, že by NAT byl spásou, ale chápu že argument použití "dražší varianty" jako 1. server jedna služba, předsazení aplikačního proxy, IPS apod. není to co chtějí všichni slyšet (Předpoklad je že NAT byla levná varianta).
Proto ještě jednou, myslím že NAT vzhledem k tomu, že je občas součástí bezpečnosti ve firmách, jeho zmizení je určité bezpčenostní riziko, které si vyžádá náklady, ale vzhledem k výhodám by toto riziko/náklady neměly odradit od zavádění veřejných adres, protože přínosy dle mého toto riziko vyváží.