ברשותי מודם מסוג AZTECH 600E.

חבר הציע לי בחום לשנות אותו לנתב, אבל נבצר ממנו להסביר את עצמו.

הוא רק אמר שיש המלצות חמות לשינוי כזה, אפילו על מחשב אחד.

האם יש דברים בגו?

יתרון אחד שאני מכיר זה שהחיוג מתבצע על ידי המודם וכך אין לך צורך להגדיר חייגן במערכת ההפעלה

רק היתרון של ביטול הצורך בחייגן.

מאוד שימושי במערכות הפעלה שאינן חלונות.

לא רק. יש גם יתרון אבטחתי כי הנתב מבודד את המחשב מחיבור הישיר לרשת האינטרנט וכך מרבית ההתקפות נעצרות בנתב. בנוסף, זה גם מייתר את הצורך ב-FIREWALL בתוכנה על המחשב.

Cheif, אני לא מסכים איתך. NAT הוא ממש לא תחליף לFW.

למה?

קודם כל בנתב עצמו יש FIREWALL שמתמודד יפה עם כל התקפות DOS וכיוב'. שנית, מנגנון ה-NAT חוסם התקפות על הרשת וממסך את ה-IP החיצוני מהפנימי. לצורך רשתות בייתיות נתב מייתר כמעט לחלוטין את הצורך ב-FIREWALL בתוכנה על המחשבים עצמם. לטעמי, כאשר אתה מאחורי נתב, תוכנת FIREWALL נדרשת רק לצורך התמודדות עם תעבורה מתוך הרשת החוצה אל רשת האינטרנט. הגנה על הכיוון הזה נדרשת רק למי שממש מוטרד ממה שיוצא מהמחשבים שלו אל רשת האינטרנט.

לטעמי, כאשר אתה מאחורי נתב, תוכנת FIREWALL נדרשת רק לצורך התמודדות עם תעבורה מתוך הרשת החוצה אל רשת האינטרנט. הגנה על הכיוון הזה נדרשת רק למי שממש מוטרד ממה שיוצא מהמחשבים שלו אל רשת האינטרנט.

הרבה פעמים דרך תעבורה שיוצאת מהמחשב שלך החוצה אתה מגלה כל מיני דברים במחשב שלא אמורים לבצע תעבורה במצב תקין, ולחסום אותם.

אם זה וירוסים או טוריאנים, או כל מיני תוכנות זדוניות שמחפשות לעשות צרות.

חוץ מזה, אתה לא תמיד יכול לסמוך על כל המחשבים ברשת הפנימית שלך, בטח ובטח כשיש לך גם רשת אלחוטית,

שעד כמה שהיא לא תיהיה מאובטחת, היא עדיין הרבה יותר פריצה מרשת קווית.

ככה שפיירוול על המחשב בכל מקרה רצוי.

צ'ף, תסלח לי ממש, אבל הדברים שאתה כותב פה פשוט מתעים אנשים תמימים.

גם אם יש מנגנון של FW שקיים בקושחה של הנתב אין שום קשר בינו לבין NAT כמו שאין שום קשר לכל פיצקר נוסף שיהיה לציוד הזה.

אם כבר מדברים על התקפות DoS אז שום NAT לא קשור ולא יעזור פה והנושא הזה בכלל לא רלוונטי למשתמש הביתי מאז שהפסקנו להשתמש בחלונות 98.

זה שיש צורך להגדיר לנתב ניתובי NAT סטאטטים כדי שתקשורת בכל פורט תופנה למחשב הנכון זה ממש לא בא כרעיון של אבטחה וגם לא מספק אחד כזה וחוץ מזה, כמו כתב RLM, מה עם התקשורת שיוצאת החוצה? הרי FW לא רק יודע לנהל סיכונים ולוגים אלא גם לדעת לסנן ולנטר תעבורה בשני הכיוונים.

גם כדי ליצור session מול אותו מחשב צריך שיהי שירות כלשהו שיאזין לאותו פורט במחשב ופה כבר מדובר על חורי אבטחה נטו של מערכת ההפעלה/תוכנות.

זו דוגמא קלאסית של שאלת הביצה והתרנגולת.

אם יש לך אנטיוירוס רציני ומעודכן ותוכנת ANTI MALWARE יעילה, אז הסיכוי שכל מיני מזיקים ורוגלות יכנסו למחשב שלך הוא אפסי. אם זה המצב, הרי שאין כמעט מה לנטר בתעבורה החוצה.

אני לא נגד FIREWALL בתוכנה, אבל הטענה שלי היא שלרוב רובם של המשתמשים העומס של תוכנה כזו על המערכת הוא מיותר. הוא גם מסבך את החיים למי שרוצה לקדם פורטים ונאלץ לעשות זאת הן ברמת הנתב והן ברמת ה-FIREWALL.

רק כדי שיהיה ברור, כאן הנחתום כן מעיד על עיסתו -- ברשת המחשבים שלי בבית (רשת של 8 מחשבים) אין על אף מחשב FIREWALL בתוכנה וזה המצב הקבוע בשנים האחרונות. למותר לציין שגם במצב זה מעולם לא נתקלתי בבעיה כלשהיא בתחום האבטחה של הרשת הביתית.

משתמשים נוטים להתקין FIREWALL בתוכנה על המחשבים שלהם באופן אוטומטי ואני טוען שזה לא צריך להיות המצב כאשר המחשבים מאחורי נתב וכל אחד צריך לשקול את רמת הסיכון שלו. לדעתי, המלצה גורפת על התקנת FIREWLL בתוכנה דורשת חשיבה מחדש.[br]פורסם בתאריך: 9.10.2009 בשעה 21:13:48

---

צ'ף, תסלח לי ממש, אבל הדברים שאתה כותב פה פשוט מתעים אנשים תמימים.

גם אם יש מנגנון של FW שקיים בקושחה של הנתב אין שום קשר בינו לבין NAT כמו שאין שום קשר לכל פיצקר נוסף שיהיה לציוד הזה.

אם כבר מדברים על התקפות DoS אז שום NAT לא קשור ולא יעזור פה והנושא הזה בכלל לא רלוונטי למשתמש הביתי מאז שהפסקנו להשתמש בחלונות 98.

זה שיש צורך להגדיר לנתב ניתובי NAT סטאטטים כדי שתקשורת בכל פורט תופנה למחשב הנכון זה ממש לא בא כרעיון של אבטחה וגם לא מספק אחד כזה וחוץ מזה, כמו כתב RLM, מה עם התקשורת שיוצאת החוצה? הרי FW לא רק יודע לנהל סיכונים ולוגים אלא גם לדעת לסנן ולנטר תעבורה בשני הכיוונים.

גם כדי ליצור session מול אותו מחשב צריך שיהי שירות כלשהו שיאזין לאותו פורט במחשב ופה כבר מדובר על חורי אבטחה נטו של מערכת ההפעלה/תוכנות.

אתה גולש פה לדברים שלא כתבתי ושלא קשורים לכאן. בשום מקום לא כתבתי שיש קשר בין ה-NAT ל-FW של הנתב ואני מבין היטב את ההבדלים בינהם. גם לא ברור לי איך הגעת מתוך מה שכתבתי לכך שקידום פורטים הוא אמצעי אבטחה.

לגבי התקשרות החוצה ראה את התגובה שלי ^^^.

צ'יף - לדעתי יבגני מדבר יותר על העניין ההגדרתי ואספקטים שנוגעים בד"כ במערכות וציוד לא ביתי כ"כ.

בעוד שאתה מדבר יותר על התנהגות של משתמש קצה בפורום שזה בסדר גמור ונכון.

יבגני - כן, ברמה ההגדרתית FW יכול לספק פונקציונליות שונה ורבה הרבה יותר ממנגנון NAT "פשוט".

אבל למשתמש הקצה הביתי הדברים האלה לא הכי משנים ולפי הצ'יף למשתמש ביתי מנגנון NAT ביתי הוא די והותר.

אני רק אוסיף שלדעתי עדיף גם לוודא שהפירוול המובנה במערכת ההפעלה (במקרה ומדובר בחלונות) יהיה פעיל.

לסיכום ה"ויכוח" הוא רק על העניין ההגדרתי ואני מסכים עם שניכם:

NAT הוא לא תחליף מלא ל Firewall ברמת ההגדרה, אך למשתמש הביתי המצוי הוא אכן תחליף מספק.

לגבי מערכות לא ביתיות -- זה בוודאי סיפור אחר. שם אתה מתקין FIREWALL על שרת ומאוד נדיר למצוא שם FIREWALL פעיל בתוכנה על מחשבי הקצה.

לגבי מערכות ביתיות -- אני ממשיך לעמוד על דעתי.

אז נראה שכולנו מסכימים בנושא הזה

קודם תודה לכל המגיבים.

שמתי לב שהדיון נסב על נושא האבטחה בעיקר.

היתרונות כפי שהבנתי הם ביטול הצורך בחייגן וקיומו של NAT שאמנם אינו מחליף את הצורך ב-FW אבל מספק הגנה עבור המשתמש הביתי הממוצע.

אם כן, האם אני יכול להסיק מכך שאין משמעות יתרה לנתב עבור מחשב אחד?

היתרונות הם מה שציינו יבגני וצ'יף:

היתרון של ביטול הצורך בחייגן.

מאוד שימושי במערכות הפעלה שאינן חלונות.

לא רק. יש גם יתרון אבטחתי כי הנתב מבודד את המחשב מחיבור הישיר לרשת האינטרנט וכך מרבית ההתקפות נעצרות בנתב. בנוסף, זה גם מייתר את הצורך ב-FIREWALL בתוכנה על המחשב.

(אבל זה גם אומר שתצטרך להפנות פורטים עבור אפליקציות שונות במחשב הבודד שלך בנתב)

יתרון גדול וחשוב בהתקנת נתב למחשב אחד, אפשרות להתחבר לאינטרנט עם מספר מערכות הפעלה בעקר לינוקס

במכונות וירטואליות ללא צורך להגדיר חיבור רשת בכל מ"ה במכונה הוירטואלית וכן, להיות מחובר בו זמנית

ללא הגדרות מסובכות.