Non è più pericoloso che consentire a un desktop di accedere a un IP mentre navigano in Internet. Sarebbe pericoloso assegnare un IP statico, avere esposti servizi non sicuri. Due problemi separati. Quando ti connetti a Internet da un'azienda o da una rete domestica, o da qualsiasi rete per la maggior parte, è probabile che avrai un firewall da qualche parte nel circuito. Che si tratti di un firewall dedicato o di regole di fw minimalista applicate su un router. Quel router è il tuo punto di uscita per il mondo. Quindi questo è ciò che accade quando ti connetti e come il mondo ti vede:
Router - 10.10.10.1 (internal address) / 33.33.33.33 (external address)
Laptop1 - 10.10.10.2
Workstation1 - 10.10.10.4
DBServer2 - 10.10.10.10
Diciamo che un utente su Laptop1 va a prendere un aggiornamento per dire: mysoftware.com, questo è ciò che accade in termini molto semplici:
Laptop1 --> need to go to mysoftware.com (DNS lookup) --> router
Il tuo router crea una tupla (NAT / PAT) per passarla al mondo che potrebbe essere simile a questa:
10.10.10.2:65432 --> mysoftware.com --> router (I need to remember this)
router --> 10.10.10.1:44555 / 33.33.33.33:554433 --> mysoftware.com "Hey I need this"
Immagina se due persone allo stesso tempo sono andate su mysoftware.com in che modo i dati dovrebbero sapere quale macchina è? Questo è fatto dalla tupla così sulla via del ritorno questo accade:
mysoftware.com --> here is your update --> 33.33.33.33:554433
Il tuo router / firewall ora restituisce quella tupla:
554433 = 44555 which I have mapped to 10.10.10.2:65432
Ecco come funzionano le connessioni in poche parole. Ora, sotto la stessa spiegazione ASCII ... Il mondo esterno può MAI vedere casualmente cosa c'è dietro un firewall (a meno che il fw non sia configurato correttamente, e qualcuno faccia davvero una buona firewalking). Quindi ciò che viene percepito accadrà consentendo a questo sistema di accedere a Internet? Ricorda, c'è una differenza tra l'assegnazione a quella macchina di un IP STATIC in cui il mondo può vederlo, solo dandogli accesso.
Quindi supponiamo che questo sia un server MySQL:
Workstation1 - 10.10.10.4 3306 is opened for LOCAL connections (within the LAN)
Un aggressore? Non sapranno che l'indirizzo 10.10.10.4 esiste. Nel mondo, tutto ciò che sanno / vedono è 33.33.33.33 che possono inviare dati alla 33.33.33.33 porta 3306 ma non finirà da nessuna parte.