IPv6, NAT olmadığı için güvensiz değildir

 (johnmaguire.me)
4 puan yazan GN⁺ 2026-01-22 | 1 yorum | WhatsApp'ta paylaş
  • IPv4'ün NAT'ı varsayılan olarak kullanması nedeniyle daha güvenli olduğu iddiası, güvenlik ile adres çevirisini karıştırmaktan kaynaklanır
  • NAT (Network Address Translation) bir güvenlik özelliği değil, IPv4 adres kıtlığını çözmek için kullanılan bir adres tasarrufu mekanizmasıdır
  • NAT'ın çalışma mantığı, port eşlemeye dayanarak birden fazla cihazın tek bir genel IP'yi paylaşmasını sağlamaktan ibarettir
  • Gerçekte dış trafiği engelleyen şey NAT değil, durum bilgili güvenlik duvarıdır (stateful firewall)
  • IPv6 ortamında da varsayılan olarak güvenlik duvarı yetkisiz trafiği engeller; dolayısıyla NAT'ın olmaması güvenliğin zayıfladığı anlamına gelmez

NAT ve güvenlik karışıklığı

  • IPv4'ün NAT kullandığı için daha güvenli olduğu iddiası yanlış bir algıdır
    • NAT bir güvenlik özelliği değil, adres tasarrufu (address conservation) için kullanılan bir tekniktir
    • IPv6'da da NAT kullanılabilir, ancak bu güvenliği artırmaz
  • NAT, iç ağdaki birden fazla cihazın tek bir genel IP adresini paylaşmasını sağlar
    • Paketin hedef portuna göre hedef IP'yi yeniden yazar (rewrite) ve yönlendirme yapar
    • Ağ yöneticisinin tanımladığı port eşleme (port mapping) veya port yönlendirme (port forwarding) kurallarına göre çalışır

NAT gerçekte nasıl çalışır

  • NAT ortamında dışarıdan gelen trafik, beklenmeyen bir hedef porta sahipse iç cihazlara iletilmez
    • Bu trafik genel IP'ye sahip cihazda kalır ve iç ağa yönlendirilmez
  • Bu yüzden NAT dış erişimi engelliyormuş gibi görünür, ancak bu yalnızca ikincil bir sonuçtur; güvenlik amacıyla tasarlanmış değildir

Güvenlik duvarının rolü

  • NAT'ın sağladığı sanılan güvenlik etkisi aslında durum bilgili güvenlik duvarından (stateful firewall) kaynaklanır
    • Modern yönlendiricilerin çoğu, NAT kullanılsın ya da kullanılmasın, varsayılan olarak gelen trafiği engelleyen güvenlik duvarı politikaları içerir
    • Güvenlik duvarı, paketleri yeniden yazmadan veya yönlendirmeden önce beklenmeyen hedef trafiğini düşürür (drop)
  • Örnek olarak UniFi yönlendiricinin varsayılan IPv6 güvenlik duvarı kuralları şöyledir
    • Established/Related trafiğe izin verilir (giden trafiğe verilen yanıtlar)
    • Invalid trafik engellenir
    • Bunun dışındaki tüm trafik engellenir

IPv6 ortamında güvenlik

  • IPv6 ağlarında da varsayılan güvenlik duvarı kuralları yetkisiz gelen trafiği engeller
    • NAT kullanılmasa da aynı koruma düzeyi uygulanır
  • Dışarıdan bir IPv6 cihazına istenmemiş trafiğe izin vermek için açıkça güvenlik duvarı kuralı eklemek gerekir
    • Bu durum, NAT kullanılıp kullanılmamasından bağımsız olarak aynıdır

Sonuç

  • IPv6'nın NAT kullanmaması nedeniyle güvenliğin zayıfladığı iddiasının bir temeli yoktur
  • Gerçek güvenlik, NAT ile değil güvenlik duvarı politikaları ve trafik kontrol kurallarıyla belirlenir
  • IPv6 ortamında da uygun güvenlik duvarı yapılandırmasıyla varsayılan reddetme (default-deny) güvenlik stratejisi sürdürülebilir

İlgili okumalar

1 yorum

 
GN⁺ 2026-01-22
Hacker News görüşleri

  • Tartışmaya katılmadan önce RFC 4787'nin 5. bölümüne göz atılması öneriliyor
    NAT güvenlik duvarı değildir ama trafiği filtreler ve bu sayede belli bir düzeyde güvenlik işlevi sağlar
    Gerçekte NAT basit adres çevirisinin ötesine geçerek evrilmiştir ve IPv6 NAT kullanmasa da güvenlik duvarıyla aynı filtreleme uygulanabilir

    • RFC 4787 gerçek uygulamalarla birebir aynı değildir. SOHO yönlendiricilerin çoğu Linux tabanlı olduğundan, netfilter tabanlı NAT davranışını tartışmak daha gerçekçidir
      Linux netfilter hem NAT hem de güvenlik duvarı uygular; nat tablosundaki DNAT/SNAT kuralları NAT, filter tablosundaki REJECT/DROP kuralları ise güvenlik duvarı işlevi görür
      Yalnızca NAT kuralları uygulanırsa mevcut bağlantının parçası olmayan trafik de olduğu gibi geçer
    • RFC 4787'nin ilgili bölümü giden bağlantılar hakkındadır
      NAT'in dışarıya bağlantı kurarken durum tablosu oluşturmasını ve buna karşılık gelen gelen paketlere izin vermesini ele alır
      Yani bu belgedeki “filtering”, istenmemiş gelen bağlantılar anlamına gelmez
    • IPv6 NAT olmadığı için daha az güvenli değildir ama varsayılanlar (defaults) önemlidir
      IPv6 da IPv4 kadar güvenli olabilir, ancak bu yapılandırmaya bağlıdır
    • 30 yıllık IT deneyimine göre NAT ortamı tembel tasarımı teşvik eder
      Sistem ve uygulama mühendislerinin meseleyi bütün olarak anlamadan NAT ve sınır güvenlik duvarına güvenmesi kötü bir güvenlik alışkanlığıdır
    • RFC'ler her zaman mutlak ölçüt değildir
      Özellikle gerçek uygulamalardan uzaklaştıkça RFC'nin güvenilirliği azalır

  • ABD'deki mobil ağlarda NAT olmadan da IPv6 adresleri kullanılıyor
    Örneğin T-Mobile, IPv4'ü IPv6 üzerinde tünellemek için 464XLAT kullanıyor
    Bu, NAT olmadan da büyük ölçekte durum bilgili güvenlik duvarlarının çalıştırılabildiğini gösteriyor

    • Finlandiya'daki Elisa ağında IPv6 gelen TCP bağlantıları sorunsuz çalışıyor
      Termux ve netcat ile test edilmiş; IPv4 CGNAT arkasındayken IPv6'ya doğrudan bağlanılabilmiş
    • “Akıllı telefonların neden sunucu gibi çalışmasına izin verilmiyor?” diye soruluyor
    • Kişisel cihazlardan veriyi doğrudan sunabilmenin doğal bir hak olduğu düşünülüyor
      Ağ kapasitesi yetersizse bunun çözülmesi gerektiği savunuluyor
      IPv6 yaygınlaştığında insanların doğrudan iletişim kurmasının doğal hale geleceği söyleniyor
    • Hotspot kullanıldığında istemci PC'nin aynı IPv6 adresini alıp almadığı merak ediliyor
    • Mobil cihazlar sandbox ortamı ile kısıtlanıyor

  • Bir ağ mühendisi olarak ilk öğrenilen şeylerden biri NAT ile güvenlik arasındaki ilişki olmuş
    IPv4'teki özel adresler (192.168.0.1) dışarıdan erişilmesi zor adreslerken, IPv6'nın global adresleri cihaz bilgilerini açığa çıkarabilir
    IPv6'da Prefix Translation gibi alternatifler bulunuyor; bunlar NAT'in bazı avantajlarını korurken şeffaf erişim de sağlayabiliyor

    • IPv4 özel adresleri ile IPv6 global adreslerini karşılaştırmak adil değildir
      Adil bir kıyas için her ikisini de ya iç ya da dış adresler olarak eşlemek gerekir
      CGNAT ortamında gelen bağlantılar mümkün olmadığından, IPv6'da da aynı şekilde kısıtlama yapılabilir
    • İç adresler sızsa bile gerçek saldırı noktası internet sınır güvenlik duvarıdır
      NAT66 ile prefix gizlenebilir ama bunun pratik güvenlik faydası büyük değildir
    • 192.168.0.1'e erişmek fazla kolaydı (şaka yollu söylenmiş)
    • NAT66 bir “gerekli kötülük” ama bazı durumlarda en iyi seçenek olabilir

  • Pek çok hacker NAT ile güvenlik duvarı arasındaki farkı karıştırıyor
    NAT güvenlik için tasarlanmamıştır; güvenliği sağlayan şey güvenlik duvarıdır

    • NAT ile güvenlik duvarı arasındaki fark anlaşılsa da pratikte ikisi birlikte çalışır
      NAT namespacing, güvenlik duvarı ise policy-based security sağlar
      Namespacing'in kendisi de saldırganın kaynakların “adını bile bilmemesini” sağlayan güçlü bir güvenlik özelliğidir
      IPv6 güvenlik duvarında tek satırlık yanlış bir kural tüm dünyaya açılmaya yol açabilir
    • NAT dış erişimi engellediği için pratikte güvenlik etkisi yaratır
      Güvenlik duvarı olmasa bile yalnızca NAT ile iç kaynaklar korunabilir
      NAT ev ağının saldırı yüzeyini tek bir yönlendiriciye indirger
    • NAT çoğu kullanıcının istediği davranışı varsayılan olarak sunar
      Buna karşılık güvenlik duvarlarında varsayılan ayarlar değişebilir; bu yüzden IPv6 genel kullanıcı açısından güvenlikte gerileme gibi hissedilebilir
    • Tüketici tipi NAT fiilen varsayılan engelleme yapan bir güvenlik duvarı gibi davranır
      UPnP'nin NAT'in güvenliğini bozduğunu söylemek, PCP'nin güvenlik duvarını bozduğunu söylemek gibidir
    • Simetrik NAT veya CGNAT güvenlik duvarı değildir ama pratikte benzer sonuç üretir

  • NAT'in varsayılan engelleme özelliğinin IPv4 güvenliğinin artısı olduğu iddiasına karşılık
    IPv6'nın varsayılan engelleme kuralları aynı güvenlik düzeyini sağladığından, yapısal bir güvenlik farkı yoktur

    • “İçsel güvenlik” kavramının anlamlı olmadığı söyleniyor
      IPv4 NAT ve IPv6 varsayılan engelleme kuralları aynı değişmez koşulları korur
      Her ikisi de yanlış yapılandırılırsa aynı şekilde savunmasız hale gelebilir

  • NAT'e güvenip IPv6 güvenlik duvarını yapılandırmadığı için bir SBC'nin hacklendiği bir deneyim paylaşılmış
    Sorunun nedeni NAT değil, IPv6 yapılandırma hatasıymış

    • IPv6 adres alanı çok büyük olduğundan tam tarama mümkün değilken saldırganın adresi nasıl bulduğu merak ediliyor
    • Oldukça utanç verici bir hata olduğu söyleniyor

  • NAT de güvenlik sorunlarına yol açar
    Yansıma saldırıları ya da adres-uç nokta ayrımı nedeniyle iz sürmenin zorlaşması gibi problemler doğurur
    Geçmişte AOL'un az sayıda egress adresini paylaşması nedeniyle bazı kullanıcıları engellemenin zorlaştığı bir örnek verilmiş

    • RFC 1631'e göre NAT'in “güvenlik sağlama seçeneklerini azalttığı” açıkça belirtilir
      Ancak zamanla NAT bir tür güvenlik inancı (cargo cult) gibi görülmeye başlanmıştır

  • NAT'in etkisi ISP ve yönlendirici yapılandırmasına göre değişir
    NAT amaçlanmış bir güvenlik özelliği olmasa da yan etki olarak güvenlik faydası sağlar
    IPv6'da her cihaza doğrudan adres verilirse varsayılan engelleme yapan bir güvenlik duvarı gerekir

    • Çoğu yönlendirici IPv6'da da varsayılan engellemeyi uygular ama UPnP gibi otomatik port yönlendirme özellikleri bunu etkisiz hale getirebilir
      UPnP özellikleri bağlantısı
    • IPv6'da da gelen trafiği engelleme IPv4 ile aynı şekilde çalışır
    • NAT kapatıldığında da erişim hâlâ mümkün değilse bunun nedeni NAT değil, yönlendirme yapılandırması olabilir
    • IPv6 NAT kullanımı nadirdir; fc00::/7 adreslerini NAT etmek sıra dışı bir örnektir
    • ISP'nin yalnızca tek bir IPv6 adresi vermesi anormal bir yapılandırmadır. En az /56 vermesi gerekir

  • NAT'in güvenliğin temeli olduğunu söyleyenlerin ağı iyi bilmediği iddiasına karşılık

    • “Bu fazla genelleme” denilerek, NAT'in güvenlik olamayacağı ama tamamen de göz ardı edilmemesi gerektiği savunuluyor
    • Kendisini IPv6 uzmanı olarak tanıtıp 2008'den beri IPv6 işletim deneyimi olduğunu belirten biri
      O dönemde privacy address birikimi sorunu yüzünden SIP sunucusunun başarısız olduğu bir vakayı paylaşıyor
      İlgili tartışmanın Reddit VOIP başlığında hâlâ geçerli olduğu söyleniyor

  • NAT'in gelen trafiği düşürmediği iddiası hakkında
    NAT yalnızca adres çevirisi yapar; paket düşürmez

    • Ancak yönlendirici yapılandırmasına bağlı olarak egress arayüzünden gelen trafik çoğu zaman açıkça engellenir
    • NAT paket düşürmese bile hedef IP yönlendiricinin kendisiyse sonuçta yönlendirilmez
      Bu geri bildirim doğrultusunda yazının güncellendiği belirtiliyor