IPv6 Güvenliği ve NAT Yanılgısı

Son zamanlarda, bazı tartışmalarda IPv4'ün IPv6'dan daha güvenli olduğu, çünkü IPv4'ün varsayılan olarak NAT kullanmasının "varsayılan reddetme" güvenlik stratejisinin faydalarını sağladığı iddiaları ortaya çıkmıştır. Bu, sıkça karşılaşılan ve ele alınması gereken önemli bir yanlış anlamadır. Temel sorun, Ağ Adresi Çevirisi (NAT) ile güvenliğin karıştırılmasıdır. NAT aslında bir güvenlik özelliği değildir; IPv4 adreslerinin tükenmesi nedeniyle zorunlu hale gelen bir adres koruma mekanizmasıdır. (Ancak, IPv6 ile de NAT kullanmak mümkündür.)

NAT, bir ev ağındaki birden fazla cihazın, hedef portuna göre bir paketin hedef IP'sini yeniden yazarak genel internette tek bir IP adresini paylaşmasına olanak tanır. Bu, ağ yöneticisi tarafından yapılandırılan "port eşlemeleri" veya "port yönlendirmeleri" temelinde yeni bir hedef IP seçer. Bunun bir sonucu olarak, NAT'lı bir IP'ye gelen trafiği alırken, beklenmeyen bir hedef porta (yönlendirilmemiş bir porta) sahip paketler, genel makinenin hedef IP'sini korur ve ağdaki başka bir makineye yönlendirilmez.

Ancak, insanların NAT'a atfettiği güvenlik faydaları aslında NAT yönlendiricileriyle birlikte gelen durum bilgisi olan güvenlik duvarından (stateful firewall) kaynaklanmaktadır. Modern yönlendiriciler, NAT kullanılmasa bile varsayılan olarak gelen trafiği reddeden güvenlik duvarı politikalarıyla birlikte gelir. Güvenlik duvarı, paketleri yeniden yazmayı veya yönlendirmeyi düşünmeden önce bile beklenmeyen hedefe sahip paketleri düşürür. Örneğin, UniFi yönlendiricileri şu varsayılan IPv6 güvenlik duvarı kurallarıyla birlikte gelir: Oluşturulan/İlgili Trafiğe İzin Ver (giden dönüş trafiği), Geçersiz Trafiği Engelle, Diğer Tüm Trafiği Engelle. Bu nedenle, yönlendiricinin arkasında barındırılan herhangi bir IPv6 cihazına istenmeyen gelen trafiğe izin vermek için, NAT kullanılsın veya kullanılmasın, trafiğe izin vermek üzere açıkça bir güvenlik duvarı kuralı eklemeniz gerekir.