Przejście na IPv6 oznacza porzucenie NAT. Czy to dobrze?

109

To jest pytanie kanoniczne dotyczące IPv6 i NAT

Związane z:

Nasz dostawca usług internetowych skonfigurował ostatnio IPv6, a ja zastanawiałem się, co to za przejście powinno pociągnąć za sobą, zanim przejdę do walki.

Zauważyłem trzy bardzo ważne kwestie:

  1. Nasz biurowy router NAT (stary Linksys BEFSR41) nie obsługuje IPv6. Ani nowy router, AFAICT. Książka, którą czytam o IPv6, mówi mi, że sprawia, że ​​NAT i tak jest „niepotrzebny”.

  2. Jeśli mamy się po prostu pozbyć tego routera i podłączyć wszystko bezpośrednio do Internetu, zaczynam panikować. W piekle nie ma mowy, że umieszczę naszą bazę rozliczeniową (z dużą ilością informacji o karcie kredytowej!) W Internecie, aby każdy mógł ją zobaczyć. Nawet jeśli miałbym zaproponować skonfigurowanie na nim zapory systemu Windows, aby umożliwić dostęp do niego tylko 6 adresom, wciąż mam zimny pot. Nie ufam systemowi Windows, zaporze ogniowej systemu Windows ani sieci na tyle dużej, że nawet z tym czuję się komfortowo.

  3. Istnieje kilka starych urządzeń (tj. Drukarek), które absolutnie nie mają żadnych możliwości IPv6. I prawdopodobnie lista problemów związanych z bezpieczeństwem, które pochodzą z około 1998 roku. I prawdopodobnie nie da się ich w żaden sposób załatać. I brak funduszy na nowe drukarki.

Słyszę, że IPv6 i IPSEC powinny jakoś to wszystko zabezpieczyć, ale bez fizycznie oddzielonych sieci, które sprawiają, że te urządzenia są niewidoczne dla Internetu, naprawdę nie widzę, jak to zrobić. Tak samo naprawdę widzę, jak wszelkie obrony, które stworzę, zostaną przejęte w krótkim czasie. Od lat obsługuję serwery w Internecie i jestem w pełni zaznajomiony z niezbędnymi rzeczami, aby je zabezpieczyć, ale umieszczenie czegoś prywatnego w sieci, takiego jak nasza baza danych rozliczeniowych, zawsze było całkowicie wykluczone.

Czym powinienem zastąpić NAT, jeśli nie mamy fizycznie oddzielnych sieci?

Ernie
źródło
9
Czy możesz spróbować ponownie o to zapytać? W tej chwili wydaje się to dość kłótliwe.
Zoredache,
9
Rzeczy, którymi jesteś zszokowany , nie istnieją. Być może powinieneś sformatować swoje pytanie w sposób opisujący rzeczy, które Twoim zdaniem są faktami i poprosić nas o ich potwierdzenie. Zamiast narzekać na rzeczy, które zakładałeś, że zadziała w określony sposób.
Zoredache,
25
Ponadto - przechowujesz informacje o karcie kredytowej? Masz wiele pytań dotyczących bezpieczeństwa? Czy zdałeś kiedyś audyt PCI? A może zrywasz umowę, przechowując dane karty kredytowej? Możesz przyjrzeć się temu pośpiesznie.
mfinni
4
Nie mogę z czystym sumieniem głosować w dół ani głosować za zamknięciem tego pytania z powodu tego, że plakat jest źle poinformowany (z pewnością jest to połowa tego miejsca). To prawda, że ​​OP działa na wielką styczną opartą na fałszywym założeniu, a pytanie może dotyczyć ponownego zapisu.
Chris Thorpe,
3
„No more NAT” jest zdecydowanie jednym z celów w IPv6. Chociaż w tej chwili wydaje się (przynajmniej tutaj), że zainteresowanie faktycznie oferowaniem IPv6 nie jest strasznie duże, z wyjątkiem centrów danych (ponieważ większe pakiety oznaczają większą przepustowość, a większa przepustowość oznacza dla nich więcej pieniędzy!). W przypadku DSL jest odwrotnie, prawie każdy ma rację, więc IPv6 oznacza tylko więcej problemów i więcej kosztów dla dostawców.
dm.skt

Odpowiedzi:

185

Przede wszystkim nie ma się czego obawiać przed publicznym przydzieleniem adresu IP, o ile urządzenia zabezpieczające są odpowiednio skonfigurowane.

Czym powinienem zastąpić NAT, jeśli nie mamy fizycznie oddzielnych sieci?

To samo, z czym fizycznie je rozdzielamy od lat 80-tych, routery i zapory ogniowe. Jednym z dużych korzyści bezpieczeństwa uzyskanych dzięki NAT jest to, że zmusza cię do konfiguracji domyślnej odmowy. Aby uzyskać przez to jakąkolwiek usługę, musisz jawnie dziurawić dziury. Bardziej zaawansowane urządzenia umożliwiają nawet stosowanie list ACL opartych na IP do tych dziur, podobnie jak zapora ogniowa. Prawdopodobnie dlatego, że mają „zaporę ogniową” na pudełku.

Prawidłowo skonfigurowana zapora zapewnia dokładnie tę samą usługę, co brama NAT. Bramy NAT są często używane, ponieważ łatwiej jest uzyskać bezpieczną konfigurację niż większość zapór.

Słyszę, że IPv6 i IPSEC powinny jakoś to wszystko zabezpieczyć, ale bez fizycznie oddzielonych sieci, które sprawiają, że te urządzenia są niewidoczne dla Internetu, naprawdę nie widzę, jak to zrobić.

To jest nieporozumienie. Pracuję dla uniwersytetu, który ma przydział IPv4 / 16, a ogromna większość naszego zużycia adresu IP dotyczy tego publicznego przydziału. Z pewnością wszystkie nasze stacje robocze i drukarki dla użytkowników końcowych. Nasze zużycie RFC1918 jest ograniczone do urządzeń sieciowych i niektórych określonych serwerów, na których takie adresy są wymagane. Nie zdziwiłbym się, gdybyś właśnie zadrżał właśnie teraz, ponieważ z pewnością zrobiłem to, gdy pojawiłem się pierwszego dnia i zobaczyłem to na monitorze z moim adresem IP.

A jednak przetrwamy. Dlaczego? Ponieważ mamy zewnętrzną zaporę sieciową skonfigurowaną do domyślnego odrzucania z ograniczoną przepustowością ICMP. Fakt, że 140.160.123.45 jest teoretycznie możliwy do przejechania, nie oznacza, że ​​możesz się tam dostać z dowolnego miejsca w publicznym Internecie. Do tego właśnie zostały zaprojektowane zapory ogniowe.

Przy odpowiednich konfiguracjach routera różne podsieci w naszej alokacji mogą być od siebie całkowicie niedostępne. Możesz to zrobić w tablicach routerów lub zaporach ogniowych. To osobna sieć, która w przeszłości zadowalała naszych audytorów bezpieczeństwa.

W piekle nie ma mowy, że umieszczę naszą bazę rozliczeniową (z dużą ilością informacji o karcie kredytowej!) W Internecie, aby każdy mógł ją zobaczyć.

Nasza baza danych rozliczeniowych znajduje się na publicznym adresie IPv4 i istnieje przez cały okres jej istnienia, ale mamy dowód, że nie możesz się stąd dostać. To, że adres znajduje się na publicznej liście tras w wersji 4, nie oznacza, że ​​jest gwarantowany. Dwie zapory ogniowe między złem Internetu i rzeczywistymi portami bazy danych odfiltrowują zło. Nawet z mojego biurka za pierwszym firewallem nie mogę dostać się do tej bazy danych.

Informacje o karcie kredytowej to jeden szczególny przypadek. Jest to zgodne ze standardami PCI-DSS, a standardy stwierdzają bezpośrednio, że serwery zawierające takie dane muszą znajdować się za bramą NAT 1 . Nasze są, a te trzy serwery reprezentują nasze całkowite wykorzystanie serwerów przez adresy RFC1918. Nie dodaje żadnych zabezpieczeń, tylko warstwę złożoności, ale musimy zaznaczyć to pole wyboru do kontroli.


Oryginalna idea „IPv6 sprawia, że ​​NAT jest już przeszłością” została zgłoszona, zanim boom internetowy naprawdę znalazł się w głównym nurcie. W 1995 r. NAT było obejściem problemu z obejściem niewielkiej alokacji IP. W 2005 r. Został zapisany w wielu dokumentach dotyczących najlepszych praktyk bezpieczeństwa oraz w co najmniej jednym głównym standardzie (konkretnie PCI-DSS). Jedyną konkretną korzyścią, jaką daje NAT, jest to, że zewnętrzny podmiot wykonujący rozpoznawanie w sieci nie wie, jak wygląda krajobraz IP za urządzeniem NAT (choć dzięki RFC1918 mają dobre przypuszczenia), i na IPv4 bez NAT (takie jak jak moja praca) tak nie jest. To mały krok w obronie dogłębnej, a nie duży.

Zastąpienie adresów RFC1918 to tak zwane unikalne adresy lokalne. Podobnie jak RFC1918, nie trasują, chyba że rówieśnicy wyraźnie zgodzą się na ich trasowanie. W przeciwieństwie do RFC1918 są (prawdopodobnie) globalnie unikalne. Translatory adresów IPv6, które tłumaczą ULA na globalne adresy IP, istnieją w obwodowym sprzęcie wyższego zakresu, na pewno jeszcze nie w sprzęcie SOHO.

Możesz dobrze przetrwać z publicznym adresem IP. Pamiętaj tylko, że „publiczne” nie gwarantuje „osiągalności”, a wszystko będzie dobrze.


Aktualizacja 2017

W ciągu ostatnich kilku miesięcy Amazon dodawał obsługę IPv6. Właśnie został dodany do ich oferty , a ich wdrożenie daje pewne wskazówki, jak należy oczekiwać wdrożeń na dużą skalę.

  • Otrzymujesz przydział / 56 (256 podsieci).
  • Alokacja jest w pełni trasowalną podsiecią.
  • Oczekuje się, że reguły zapory sieciowej ( ) będą odpowiednio restrykcyjne.
  • Nie ma NAT, nie jest nawet oferowany, więc cały ruch wychodzący będzie pochodził z faktycznego adresu IP instancji.

Aby ponownie dodać jedną z zalet bezpieczeństwa NAT, oferują teraz bramę internetową tylko do Egress . Daje to jedną zaletę NAT:

  • Nie można uzyskać bezpośredniego dostępu do podsieci z Internetu.

Który zapewnia warstwę dogłębnej obrony, na wypadek, gdyby źle skonfigurowana reguła zapory sieciowej przypadkowo zezwoli na ruch przychodzący.

Ta oferta nie tłumaczy adresu wewnętrznego na pojedynczy adres, tak jak NAT. Ruch wychodzący nadal będzie miał źródłowy adres IP instancji, która otworzyła połączenie. Operatorzy zapory sieciowej, którzy chcą umieścić zasoby na białej liście w VPC, lepiej będą korzystać z blokowania sieci na białej liście niż z określonych adresów IP.

Trasa nie zawsze oznacza osiągalność .


1 : Standardy PCI-DSS zmieniły się w październiku 2010 r., Oświadczenie nakazujące adresy RFC1918 zostało usunięte, a zastąpiła je „izolacja sieci”.

sysadmin1138
źródło
1
Oznacziłem to jako zaakceptowane, ponieważ jest to bardziej kompletna odpowiedź. Wydaje mi się, że od czasu każdego tomu konfiguracji zapory, który kiedykolwiek czytałem (od około 1997 r., Kiedy zaczynałem w terenie, w tym ręcznie budowałem zapory FreeBSD) podkreślałem użycie RFC1918, że to nie ma żadnego sensu Dla mnie. Oczywiście jako dostawca usług internetowych będziemy mieć problemy z użytkownikami końcowymi i ich tanimi routerami, gdy zabraknie adresów IPv4, i to nie zniknie w najbliższym czasie.
Ernie
„Translatory adresów IPv6, które tłumaczą ULA na globalne adresy IP, istnieją w sprzęcie obwodowym wyższego zakresu, zdecydowanie jeszcze nie w sprzęcie SOHO.” Po wielu latach oporu linux dodał obsługę tego w 3.9.0.
Peter Green
2
Mam pytanie na temat: „Bramy NAT są często używane, ponieważ łatwiej uzyskać bezpieczną konfigurację niż większość zapór”. Dla firm z profesjonalnym personelem IT lub dla dobrze poinformowanych konsumentów nie jest to wielka sprawa, ale dla ogólnego konsumenta / naiwnej małej firmy nie jest czymś, co nie jest „łatwe”, ogromnym zagrożeniem dla bezpieczeństwa? Np. Istniały dziesięciolecia pozbawionych hasła sieci Wi-Fi „linksys”, ponieważ nie skonfigurowanie zabezpieczeń było „łatwiejsze” niż skonfigurowanie. W domu pełnym urządzeń z obsługą IoT na poziomie konsumenckim nie widzę, aby mama poprawnie konfigurowała zaporę IPv6. Czy uważasz, że to problem?
Jason C
6
@JasonC Nie, ponieważ sprzęt konsumencki, który jest już wysyłany, jest wysyłany z zaporami wstępnie skonfigurowanymi przez dostawcę usług internetowych w celu odrzucenia wszystkich przychodzących. Lub nie masz wsparcia w wersji 6. Wyzwaniem są zaawansowani użytkownicy, którzy myślą, że wiedzą, co robią, ale tak naprawdę nie.
sysadmin1138
1
Ogólnie rzecz biorąc, świetna odpowiedź, ale głosowałem za nią, ponieważ ledwo przemawiał do wielkiego słonia w pokoju: prawidłowe skonfigurowanie urządzenia zabezpieczającego jest czymś, czego nie można brać za pewnik.
Kevin Keane
57

Nasz biurowy router NAT (stary Linksys BEFSR41) nie obsługuje IPv6. Nie ma też żadnego nowszego routera

IPv6 jest obsługiwany przez wiele routerów. Tylko nie tak wiele z tych tanich skierowanych do konsumentów i SOHO. W najgorszym przypadku wystarczy użyć Linux-a lub ponownie flashować router za pomocą dd-wrt lub czegoś, aby uzyskać obsługę IPv6. Istnieje wiele opcji, prawdopodobnie po prostu musisz wyglądać mocniej.

Jeśli mamy się po prostu pozbyć tego routera i podłączyć wszystko bezpośrednio do Internetu,

Nic o przejściu na IPv6 nie sugeruje, że powinieneś pozbyć się obwodowych urządzeń zabezpieczających, takich jak router / zapora ogniowa. Routery i zapory ogniowe nadal będą wymaganym składnikiem niemal każdej sieci.

Wszystkie routery NAT działają skutecznie jako zapora stanowa. W użyciu adresów RFC1918 nie ma nic magicznego, co by cię tak bardzo chroniło. To stanowy kawałek, który wykonuje ciężką pracę. Prawidłowo skonfigurowana zapora sieciowa będzie Cię równie dobrze chronić, jeśli używasz prawdziwych lub prywatnych adresów.

Jedyną ochroną, jaką otrzymujesz z adresów RFC1918, jest to, że pozwala ludziom uniknąć błędów / lenistwa w konfiguracji zapory i nadal nie jest aż tak podatna na ataki.

Istnieje kilka starych urządzeń (tj. Drukarek), które absolutnie nie mają żadnych możliwości IPv6.

Więc? Jest mało prawdopodobne, że będziesz musiał udostępnić to przez Internet, a w sieci wewnętrznej możesz nadal uruchamiać IPv4 i IPv6, dopóki wszystkie urządzenia nie będą obsługiwane lub wymienione.

Jeśli uruchamianie wielu protokołów nie jest opcją, może być konieczne skonfigurowanie jakiegoś rodzaju bramy / proxy.

IPSEC ma jakoś to wszystko zabezpieczyć

Szyfrowane przez IPSEC i uwierzytelnia pakiety. Nie ma to nic wspólnego z pozbyciem się urządzenia granicznego i zapewnia lepszą ochronę przesyłanych danych.

Zoredache
źródło
2
Tak na wiele sposobów.
sysadmin1138
3
Dokładnie, zdobądź prawdziwy router, a nie będziesz musiał się martwić. SonicWall ma kilka doskonałych opcji zapewniających potrzebne bezpieczeństwo i bez problemu będzie obsługiwał IPv6. Ta opcja prawdopodobnie zapewni lepsze bezpieczeństwo i wydajność niż obecnie. ( news.sonicwall.com/index.php?s=43&item=1022 ) Jak widać w tym artykule, możesz również wykonać translację z ipv4 na ipv6 za pomocą urządzeń sonicwall dla tych, którzy nie obsługują ipv6.
MaQleod,
34

Tak. NAT nie żyje. Podjęto pewne próby ratyfikacji standardów NAT przez IPv6, ale żadna z nich nigdy nie powstała.

To faktycznie spowodowało problemy dla dostawców, którzy próbują spełnić standardy PCI-DSS, ponieważ standard faktycznie stwierdza, że ​​musisz być za NAT.

Dla mnie to jedna z najwspanialszych wiadomości, jakie kiedykolwiek słyszałem. Nienawidzę NAT i jeszcze bardziej nienawidzę NAT klasy operatorskiej.

NAT miał być tylko bandaidowym rozwiązaniem, które prowadzi nas do momentu, aż IPv6 stanie się standardem, ale zakorzenił się w społeczeństwie internetowym.

W okresie przejściowym należy pamiętać, że IPv4 i IPv6, oprócz podobnej nazwy, są zupełnie inne 1 . Tak więc urządzenia z podwójnym stosem IPv4 będą NATowane, a IPv6 nie. To prawie tak, jakby mieć dwa całkowicie oddzielne urządzenia, po prostu zapakowane w jeden kawałek plastiku.

Jak działa dostęp do Internetu IPv6? Sposób, w jaki działał Internet przed wynalezieniem NAT. Twój dostawca usług internetowych przydzieli ci zakres adresów IP (tak samo jak teraz, ale zazwyczaj przypisuje ci / 32, co oznacza, że ​​otrzymujesz tylko jeden adres IP), ale twój zakres będzie zawierał miliony dostępnych adresów IP. Możesz dowolnie wypełniać te adresy IP według własnego wyboru (z automatyczną konfiguracją lub DHCPv6). Każdy z tych adresów IP będzie widoczny z dowolnego innego komputera w Internecie.

Brzmi przerażająco, prawda? Twój kontroler domeny, domowy komputer multimedialny i twój iPhone z ukrytym zasobem pornografii będą dostępne z Internetu ?! Więc nie. Po to jest zapora ogniowa. Inną wielką cechą protokołu IPv6 jest wymuszenie przez zapory ogniowe podejścia „Zezwól na wszystko” (jak większość urządzeń domowych) na podejście „Odmów wszystkiego”, w którym otwierane są usługi dla określonych adresów IP. 99,999% użytkowników domowych z przyjemnością utrzyma domyślne zapory i całkowicie je zablokuje, co oznacza, że ​​nie będzie dozwolony żaden niepożądany ruch.

1 Ok, jest o wiele więcej, ale nie są one w żaden sposób ze sobą kompatybilne, mimo że oba pozwalają na stosowanie tych samych protokołów

Mark Henderson
źródło
1
Co ze wszystkimi ludźmi, którzy twierdzą, że posiadanie komputerów za NAT zapewnia dodatkowe bezpieczeństwo? Często słyszę o tym od innych administratorów IT. Nie będzie miało znaczenia, jeśli powiesz, że odpowiednia zapora sieciowa jest wszystkim, czego potrzebujesz, ponieważ tak wielu z tych osób uważa, że ​​NAT dodaje warstwę bezpieczeństwa.
user9274
3
@ user9274 - zapewnia bezpieczeństwo na dwa sposoby: 1) ukrywa twój wewnętrzny adres IP przed światem (dlatego PCI-DSS tego wymaga), i 2) jest dodatkowym „przeskokiem” z Internetu do komputera lokalnego. Ale szczerze mówiąc, pierwszy to po prostu „bezpieczeństwo przez zaciemnienie”, które w ogóle nie jest zabezpieczeniem, a jeśli chodzi o drugie, zagrożone urządzenie NAT jest tak samo niebezpieczne jak zagrożony serwer, więc gdy atakujący przejdą poza NAT, który prawdopodobnie i tak wejdź do swojej maszyny.
Mark Henderson
Ponadto wszelkie zabezpieczenia uzyskane dzięki zastosowaniu NAT były i są niezamierzoną korzyścią w dążeniu do powstrzymania wyczerpania adresów IPv4. Z pewnością nie był to nieodłączny element projektu, o czym jestem świadomy.
joeqwerty
7
Standardy PCI-DSS zostały zmienione pod koniec października 2010 r. I wymóg NAT został usunięty (sekcja 1.3.8 v1.2). Więc nawet oni nadrabiają zaległości.
sysadmin1138
2
@ Mark, nie jestem pewien, czy warto o tym wspomnieć, ale NAT64 zaczyna działać, ale nie jest to NAT, o którym myśli większość ludzi. Umożliwia sieciom IPv6 dostęp do Internetu IPv4 bez „współpracy” klienta; wymaga obsługi DNS64, aby działał.
Chris S
18

Wymagania PCI-DSS dla NAT są dobrze znane jako teatr bezpieczeństwa, a nie rzeczywiste bezpieczeństwo.

Najnowszy PCI-DSS zrezygnował z nazwania NAT bezwzględnym wymogiem. Wiele organizacji przeszło audyty PCI-DSS z IPv4 bez NAT pokazujące stan zapory ogniowej jako „równoważne implementacje bezpieczeństwa”.

Istnieją inne dokumenty teatru bezpieczeństwa wzywające do NAT, ale ponieważ niszczy ścieżki audytu i utrudnia dochodzenie / łagodzenie incydentów, bardziej dogłębne badanie NAT (z PAT lub bez) jest ujemne pod względem bezpieczeństwa netto.

Dobry stanowy firewall bez NAT jest znacznie lepszym rozwiązaniem niż NAT w świecie IPv6. W IPv4 NAT jest złem koniecznym do tolerowania ze względu na zachowanie adresu.

Owen DeLong
źródło
2
NAT to „leniwe bezpieczeństwo”. A z „leniwym bezpieczeństwem” przychodzi brak dbałości o szczegóły, a co za tym idzie utrata zamierzonego bezpieczeństwa.
Skaperen
1
Całkowicie się zgadzam; chociaż sposób najbardziej audyty PCI-DSS są przeprowadzane (badania przez małpa z listy kontrolnej) to wszystko leniwy bezpieczeństwo i przenosi te wady.
MadHatter
Dla tych, którzy twierdzą, że NAT jest „teatrem bezpieczeństwa”, chciałbym zwrócić uwagę na artykuł The Networking Nerd na temat podatności Memcached kilka miesięcy temu. networkingnerd.net/2018/03/02/… Jest zagorzałym zwolennikiem IPv6 i nienawidzącym NAT, ale musiał zauważyć, że tysiące firm pozostawiło otwarte serwery memcached w Internecie z powodu reguł zapory, które „nie były starannie wykonane ”. NAT zmusza cię do wyraźnego określenia tego, co wpuszczasz do swojej sieci.
Kevin Keane
12

(Niestety) minie trochę czasu, zanim będziesz mógł uciec z siecią opartą na pojedynczym stosie IPv6. Do tego czasu można uruchomić podwójny stos z preferencją IPv6, gdy jest dostępny.

Podczas gdy większość routerów konsumenckich nie obsługuje obecnie IPv6 z zapasowym oprogramowaniem układowym, wielu może go obsługiwać za pomocą oprogramowania firm trzecich (np. Linksys WRT54G z dd-wrt itp.). Ponadto wiele urządzeń klasy biznesowej (Cisco, Juniper) obsługuje protokół IPv6 od razu po wyjęciu z pudełka.

Ważne jest, aby nie mylić PAT (translacja NAT typu „wiele do jednego”, jak to jest powszechnie stosowane w routerach konsumenckich) z innymi formami NAT oraz z zaporą ogniową wolną od NAT; gdy Internet stanie się tylko IPv6, zapory ogniowe nadal będą zapobiegać narażeniu usług wewnętrznych. Podobnie system IPv4 z NAT typu jeden do jednego nie jest automatycznie chroniony; to zadanie polityki zapory ogniowej.

techieb0y
źródło
11

Istnieje ogromna dezorientacja w tym temacie, ponieważ administratorzy sieci widzą NAT w jednym świetle, a małe firmy i klienci indywidualni w innym. Pozwól mi wyjaśnić.

Statyczny NAT (czasem nazywany NAT-em jeden-do-jednego) nie zapewnia absolutnie żadnej ochrony twojej sieci prywatnej lub pojedynczego komputera. Zmiana adresu IP jest bez znaczenia dla ochrony.

Dynamiczne przeciążenie NAT / PAT, takie jak większość bram domowych i AP Wi-Fi, absolutnie pomaga chronić twoją prywatną sieć i / lub komputer. Z założenia tablica NAT w tych urządzeniach jest tablicą stanów. Śledzi żądania wychodzące i mapuje je w tabeli NAT - po pewnym czasie połączenia tracą ważność. Wszelkie niechciane ramki przychodzące, które nie pasują do zawartości tabeli NAT, są domyślnie usuwane - router NAT nie wie, gdzie wysłać je w sieci prywatnej, więc je upuszcza. W ten sposób jedynym urządzeniem, na które narażasz się na włamanie, jest router. Ponieważ większość exploitów zabezpieczających opiera się na systemie Windows - posiadanie takiego urządzenia między Internetem a komputerem z systemem Windows naprawdę pomaga chronić sieć. Może nie być pierwotnie zamierzoną funkcją, który miał zaoszczędzić na publicznych adresach IP, ale wykonuje zadanie. Jako bonus, większość z tych urządzeń ma również zaporę ogniową, która wielokrotnie domyślnie blokuje żądania ICMP, co również pomaga chronić sieć.

Biorąc pod uwagę powyższe informacje, pozbycie się NAT przy przejściu na IPv6 może narazić miliony klientów indywidualnych i małych firm na potencjalne włamanie. Będzie to miało niewielki lub żaden wpływ na sieci korporacyjne, ponieważ profesjonalnie zarządzają zaporami ogniowymi na ich krawędzi. Sieci konsumenckie i małe firmy mogą już nie mieć routera NAT opartego na * nix między Internetem a komputerem. Nie ma powodu, dla którego dana osoba nie mogłaby przejść na rozwiązanie oparte wyłącznie na zaporze ogniowej - znacznie bezpieczniejsze przy prawidłowym wdrożeniu, ale także poza tym, co 99% konsumentów rozumie, jak to zrobić. Dynamiczny przeciążony NAT daje odrobinę ochrony tylko przez jego użycie - podłącz router domowy i jesteś chroniony. Łatwo.

To powiedziawszy, nie ma powodu, aby NAT nie mógł być używany dokładnie w taki sam sposób, jak jest używany w IPv4. W rzeczywistości router można zaprojektować tak, aby miał jeden adres IPv6 na porcie WAN, a za nim znajdowała się prywatna sieć IPv4 z NAT (na przykład). To byłoby proste rozwiązanie dla konsumentów i osób prywatnych. Inną opcją jest umieszczenie wszystkich urządzeń z publicznymi adresami IPv6 - urządzenie pośrednie może wtedy działać jako urządzenie L2, ale zapewnia tablicę stanów, kontrolę pakietów i w pełni funkcjonalną zaporę ogniową. Zasadniczo brak NAT, ale nadal blokuje niechciane ramki przychodzące. Ważne jest, aby pamiętać, że nie należy podłączać komputera bezpośrednio do połączenia WAN bez żadnego urządzenia pośredniczącego. Chyba że oczywiście chcesz polegać na zaporze systemu Windows. . . i to jest inna dyskusja.

Przejście na IPv6 będzie narastać, ale nie ma problemu, którego nie da się rozwiązać dość łatwo. Czy będziesz musiał porzucić stary router IPv4 lub bramę domową? Może, ale pojawią się niedrogie nowe rozwiązania, gdy przyjdzie czas. Mamy nadzieję, że wiele urządzeń będzie wymagało flashowania oprogramowania układowego. Czy IPv6 może zostać zaprojektowany tak, aby pasował bardziej płynnie do obecnej architektury? Jasne, ale takie jest i nie odchodzi - więc równie dobrze możesz się tego nauczyć, przeżyć, pokochać.

Computerguy
źródło
3
Jeśli chodzi o to, co warto, chciałbym powtórzyć, że obecna architektura jest zasadniczo zepsuta (routing end-to-end), co stwarza praktyczne problemy w złożonych sieciach (nadmiarowe urządzenia NAT są zbyt złożone i kosztowne). Porzucenie hakowania NAT zmniejszy złożoność i potencjalne punkty awarii, a bezpieczeństwo zapewniają proste stanowe zapory ogniowe (nie mogę sobie wyobrazić, że router SOHO nadejdzie bez domyślnie włączonej zapory stanowej, aby klienci mogli plug-n-play bez myśl).
Chris S
Czasami zepsuta kompleksowość jest dokładnie tym, czego chcesz. Nie chcę, aby moje drukarki i komputery mogły być kierowane z Internetu. Chociaż NAT zaczął się jako hack, przekształcił się w bardzo użyteczne narzędzie, które w niektórych przypadkach może poprawić bezpieczeństwo poprzez usunięcie możliwości kierowania pakietów bezpośrednio do węzła. Jeśli mam IP RFC1918 przypisany statycznie na PC, pod żadnym pozorem nie będzie on możliwy do trasowania w Internecie.
Computerguy,
6
Zepsuta routing to A Bad Thing ™ . To, czego chcesz, to aby Twoje urządzenia były niedostępne przez Internet (zaporę ogniową), to nie to samo. Zobacz, dlaczego miałbyś używać IPv6 wewnętrznie? . Ponadto RFC1918 stwierdza, że ​​adresy te powinny być używane tylko w sieciach prywatnych, a dostęp do Internetu powinien być zapewniany tylko przez bramy warstwy aplikacji (którym nie jest NAT). W przypadku połączeń zewnętrznych hostowi należy przypisać adres ze skoordynowanego przydziału IANA. Hacki, bez względu na to, jak użyteczne, powodują niepotrzebne kompromisy i nie są „właściwą” drogą.
Chris S
10

Jeśli NAT przetrwa w świecie IPv6, najprawdopodobniej będzie to NAT 1: 1. Forma NAT nigdy nie widziana w przestrzeni IPv4. Co to jest NAT 1: 1? To tłumaczenie globalnego adresu 1: 1 na adres lokalny. Odpowiednikiem IPv4 byłoby tłumaczenie wszystkich połączeń na 1.1.1.2 tylko na 10.1.1.2 i tak dalej dla całej przestrzeni 1.0.0.0/8. Wersja IPv6 polegałaby na przetłumaczeniu adresu globalnego na unikalny adres lokalny.

Zwiększone bezpieczeństwo można zapewnić, często zmieniając mapowanie adresów, które nie są dla Ciebie ważne (np. Użytkownicy biurowi wewnętrzni przeglądający Facebook). Wewnętrznie numery ULA pozostałyby takie same, więc DNS z podziałem horyzontu nadal działałby dobrze, ale zewnętrzni klienci nigdy nie byliby na przewidywalnym porcie.

Ale tak naprawdę to niewielka poprawa bezpieczeństwa w przypadku problemów, które powoduje. Skanowanie podsieci IPv6 jest naprawdę dużym zadaniem i jest niewykonalne bez pewnej zmiany sposobu przypisywania adresów IP w tych podsieciach (metoda generowania MAC? Metoda losowa? Przypisanie statyczne adresów czytelnych dla człowieka?).

W większości przypadków zdarza się, że klienci za korporacyjną zaporą ogniową otrzymają adres globalny, być może ULA, a zapora obwodowa zostanie ustawiona tak, aby odmawiać wszelkiego rodzaju połączeń przychodzących do tych adresów. Do wszystkich celów i celów adresy te są nieosiągalne z zewnątrz. Gdy klient wewnętrzny zainicjuje połączenie, pakiety będą przepuszczane wzdłuż tego połączenia. Potrzebę zmiany adresu IP na coś zupełnie innego rozwiązuje się, zmuszając atakującego do przejrzenia 2 ^ 64 możliwych adresów w tej podsieci.

sysadmin1138
źródło
@ sysadmin1138: Podoba mi się to rozwiązanie. Jak obecnie rozumiem IPv6, jeśli mój dostawca usług internetowych daje mi / 64, powinienem używać tego / 64 w całej mojej sieci, jeśli chcę, aby moje maszyny były dostępne w Internecie za pomocą IPv6. Ale jeśli mam już dość tego dostawcy usług internetowych i przechodzę do innego, teraz muszę całkowicie przenumerować wszystko.
Kumba,
1
@ sysadmin1138: Powiedziałem jednak, że zauważyłem, że mogę przypisać wiele adresów IP do jednego interfejsu o wiele łatwiej niż w przypadku IPv4, więc mogę przewidzieć użycie ISP-podano / 64 do zewnętrznego dostępu i mojego prywatnego wewnętrznego schematu ULA dla komunikuje się między hostami i używa zapory ogniowej, aby adresy ULA były niedostępne z zewnątrz. Wymagane są dalsze prace konfiguracyjne, ale wygląda na to, że całkowicie uniknie NAT.
Kumba,
@ sysadmin1138: W dalszym ciągu zastanawiam się, dlaczego ULA są, we wszystkich celach i celach, prywatne, ale oczekuje się, że nadal będą globalnie wyjątkowe. To tak, jakby powiedzieć, że mogę mieć samochód dowolnej marki i modelu, który jest obecnie dostępny, ale żadna marka / model / rok nie jest już używana przez kogoś innego, nawet jeśli jest to mój samochód i będę jedynym kierowcą, jaki kiedykolwiek będzie miał.
Kumba,
2
@Kumba Powodem, dla którego adresy RFC 4193 powinny być globalnie unikalne, jest zapewnienie, że nie będziesz musiał ponownie numerować w przyszłości. Może pewnego dnia musisz połączyć dwie sieci przy użyciu adresów RFC 4193 lub jedna maszyna, która może już mieć adres RFC 4193, może wymagać połączenia z jedną lub kilkoma sieciami VPN, które również mają adresy RFC 4193.
kasperd
1
@Kumba Gdyby wszyscy używali fd00 :: / 64 dla pierwszego segmentu swojej sieci, z pewnością wpadłbyś w konflikt, gdy tylko jakakolwiek para dwóch takich sieci musiałaby się komunikować. Istotą RFC 4193 jest to, że dopóki wybierzesz 40 bitów losowo, możesz przypisać pozostałe 80 bitów, jakkolwiek chcesz i zachowaj pewność, że nie będziesz musiał przenumerowywać.
kasperd
9

RFC 4864 opisuje ochronę sieci lokalnej IPv6 , zestaw podejść do zapewnienia postrzeganych korzyści NAT w środowisku IPv6, bez konieczności uciekania się do NAT.

W tym dokumencie opisano szereg technik, które można połączyć w witrynie IPv6 w celu ochrony integralności jej architektury sieciowej. Techniki te, zwane łącznie ochroną sieci lokalnej, zachowują koncepcję dobrze zdefiniowanej granicy między „wewnętrzną” i „zewnętrzną” siecią prywatną oraz umożliwiają zaporę ogniową, ukrywanie topologii i prywatność. Ponieważ jednak zachowują przejrzystość adresów tam, gdzie jest to potrzebne, osiągają te cele bez niekorzystnego wpływu tłumaczenia adresów. Dlatego ochrona sieci lokalnej w IPv6 może zapewnić zalety translacji adresów sieciowych IPv4 bez odpowiednich wad.

Najpierw określa, jakie są postrzegane korzyści z NAT (i obala je w razie potrzeby), a następnie opisuje funkcje IPv6, których można użyć, aby zapewnić te same korzyści. Zawiera także uwagi dotyczące wdrażania i analizy przypadków.

Chociaż jest tu zbyt długo, aby przedrukować tutaj, omawiane korzyści to:

  • Prosta brama między „wewnątrz” a „na zewnątrz”
  • Zapora stanowa
  • Śledzenie użytkowników / aplikacji
  • Ukrywanie prywatności i topologii
  • Niezależna kontrola adresowania w sieci prywatnej
  • Multihoming / numeracja

To w zasadzie obejmuje wszystkie scenariusze, w których można było chcieć NAT i oferuje rozwiązania do ich implementacji w IPv6 bez NAT.

Niektóre technologie, których będziesz używać to:

  • Unikalne adresy lokalne: Preferuj je w sieci wewnętrznej, aby zachować wewnętrzną komunikację wewnętrzną i zapewnić, że komunikacja wewnętrzna może być kontynuowana, nawet jeśli dostawca usług internetowych przestanie działać.
  • Rozszerzenia prywatności IPv6 o krótkim okresie istnienia adresu i niejednoznacznie ustrukturyzowanych identyfikatorach interfejsów: Pomagają zapobiegać atakom na poszczególne hosty i skanowanie podsieci.
  • IGP, Mobile IPv6 lub VLAN mogą być używane do ukrywania topologii sieci wewnętrznej.
  • Wraz z ULA, DHCP-PD od dostawcy usług internetowych ułatwia numerację / multihoming niż w przypadku IPv4.

( Aby uzyskać szczegółowe informacje, zapoznaj się z dokumentem RFC ; ponownie, jest zbyt długo, aby przedrukować, a nawet wziąć znaczące fragmenty.)

Bardziej ogólne omówienie bezpieczeństwa przejścia IPv6, patrz RFC 4942 .

Michael Hampton
źródło
8

Rodzaj. W rzeczywistości istnieją różne „typy” adresów IPv6. Najbliżej RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) nazywa się „Unikalny adres lokalny” i jest zdefiniowany w RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Więc zaczynasz od fd00 :: / 8, a następnie dodajesz 40-bitowy ciąg znaków (używając wstępnie zdefiniowanego algorytmu w RFC!), A kończysz na pseudolosowym / 48 prefiksie, który powinien być globalnie unikalny. Pozostałą część przestrzeni adresowej możesz przypisać w dowolny sposób.

Powinieneś także zablokować fd00 :: / 7 (fc00 :: / 8 i fd00 :: / 8) na routerze (IPv6) poza swoją organizacją - stąd „lokalny” w nazwie adresu. Adresy te, będąc w globalnej przestrzeni adresowej, nie powinny być dostępne dla całego świata, tylko w „Twojej organizacji”.

Jeśli twoje serwery PCI-DSS potrzebują IPv6 do połączenia z innymi wewnętrznymi hostami IPv6, powinieneś wygenerować prefiks ULA dla swojej firmy i użyć go do tego celu. Możesz użyć automatycznej konfiguracji IPv6, tak jak każdego innego prefiksu, jeśli chcesz.

Biorąc pod uwagę, że protokół IPv6 został zaprojektowany tak, aby hosty mogły mieć wiele adresów, komputer może mieć - oprócz ULA - również adres globalnie routowalny. Tak więc serwer WWW, który musi rozmawiać zarówno ze światem zewnętrznym, jak i z komputerami wewnętrznymi, może mieć zarówno adres prefiksu przydzielony przez dostawcę usług internetowych, jak i prefiks ULA.

Jeśli chcesz mieć funkcjonalność podobną do NAT, możesz również spojrzeć na NAT66, ale ogólnie bym architektował wokół ULA. Jeśli masz dodatkowe pytania, możesz sprawdzić listę mailingową „ipv6-ops”.

ZAPORA
źródło
1
Hah Piszę te wszystkie komentarze do sysadmin1138 i nawet nie pomyślałem, żeby spojrzeć na twoją odpowiedź na temat używania podwójnych adresów do komunikacji globalnej i lokalnej. Jednak zdecydowanie nie zgadzam się z zasadami ULA, które muszą być unikalne na całym świecie. Nie lubię randomizowane, liczb 40-bitowych w ogóle , zwłaszcza dla mojej wewnętrznej sieci LAN, z których ja jestem jedynym użytkownikiem. Prawdopodobnie potrzebują światowej bazy danych ULA, aby się zarejestrować (SixXS działa), ale porzuć bałagan z liczbami losowymi i pozwól ludziom być kreatywnym. Jak spersonalizowane tablice rejestracyjne. Ubiegasz się o jeden, a jeśli jest on zajęty, próbujesz uzyskać inny.
Kumba,
1
@Kumba próbują zatrzymać każdą sieć za pomocą tych samych adresów - losowo oznacza, że ​​nie potrzebujesz publicznej bazy danych, a każda sieć jest niezależna; jeśli chcesz wydawać adresy IP centralnie, skorzystaj z adresów globalnych!
Richard Gadsden
@Richard: To jest ... Jak to ująć, głupia koncepcja, IMHO. Dlaczego to ma mieć znaczenie, jeśli mała firma Joe w mieście w Montanie korzysta z tego samego adresu IPv6, co inna mała firma w Perth w Australii? Szanse na to, że dwa się kiedykolwiek przekroczą, choć nie są niemożliwe, są dość nieprawdopodobne. Jeśli intencją projektantów IPv6 było całkowite wyeliminowanie koncepcji „sieci prywatnych”, należy sprawdzić kawę, ponieważ nie jest to realistycznie możliwe.
Kumba,
2
@Kumba Myślę, że to blizny, kiedy próbujesz połączyć dwie duże prywatne sieci IPv4 w 10/8 i musisz zmienić numerację jednej (lub nawet obu) z nich, której próbują uniknąć.
Richard Gadsden,
2
@Richard: Dokładnie, nie ma nic bardziej bolesnego niż używanie VPN do łączenia się z inną siecią z tą samą prywatną podsiecią, niektóre implementacje przestaną działać.
Hubert Kario
4

IMHO: nie.

Wciąż są miejsca, w których SNAT / DNAT może być użyteczny. Na przykład niektóre serwery zostały przeniesione do innej sieci, ale nie chcemy / nie możemy zmienić adresu IP aplikacji.

sumar
źródło
1
W konfiguracjach aplikacji musisz używać nazw DNS zamiast adresów IP.
rmalayter
DNS nie rozwiązuje problemu ponownie, jeśli potrzebujesz utworzyć ścieżkę sieciową bez zmiany całej topologii routingu i reguł zapory.
sumar
3

Mamy nadzieję, że NAT zniknie na zawsze. Przydaje się to tylko wtedy, gdy masz niedobór adresu IP i nie masz żadnych funkcji bezpieczeństwa, które nie są lepsze, tańsze i łatwiejsze do zarządzania przez zaporę stanową.

Ponieważ IPv6 = koniec niedoboru, oznacza to, że możemy pozbyć się świata brzydkiego włamania, jakim jest NAT.

rosnąć
źródło
3

Nie widziałem ostatecznej odpowiedzi na pytanie, w jaki sposób utrata NAT (jeśli naprawdę zniknie) z IPv6 wpłynie na prywatność użytkowników.

Dzięki publicznie ujawnionym adresom IP poszczególnych urządzeń usługi internetowe będą znacznie łatwiejsze do monitorowania (gromadzenia, przechowywania, agregowania w czasie, przestrzeni i witrynach oraz ułatwiania wielu wtórnych zastosowań) podczas podróży po Internecie z różnych urządzeń. Chyba że ... Dostawcy usług internetowych, routery i inny sprzęt umożliwiają i łatwo mają dynamiczne adresy IPv6, które można często zmieniać dla każdego urządzenia.

Oczywiście bez względu na to, co nadal będzie miało problem ze statycznymi adresami MAC Wi-Fi, które są publiczne, ale to inna historia ...

LogEx
źródło
2
Musisz tylko włączyć adresy prywatności. To da ci tyle samo prywatności, co zrobiłby NAT. Ponadto przy użyciu IPv6 będziesz znacznie mniej narażony na problemy spowodowane złym wyborem IPID.
kasperd
2

Istnieje wiele schematów obsługi NAT w scenariuszu przejścia V4 na V6. Jeśli jednak masz całą sieć IPV6 i łączysz się z nadrzędnym dostawcą IPV6, NAT nie jest częścią nowego porządku światowego, z wyjątkiem tego, że możesz tunelować między sieciami V4 przez sieci V6.

Cisco ma wiele ogólnych informacji na temat scenariuszy, migracji i tunelowania 4to6.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Również w Wikipedii:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

Greg Askew
źródło
2

Polityka i podstawowa praktyka biznesowa najprawdopodobniej przyczynią się do powstania NAT. Mnóstwo adresów IPv6 oznacza, że ​​dostawcy usług internetowych będą mieli ochotę pobierać opłaty za urządzenie lub ograniczać połączenia tylko do ograniczonej liczby urządzeń. Zobacz ostatni artykuł na temat /. na przykład:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

Steve-o
źródło
2
Nie jestem tego taki pewien. Myślę, że nastąpi wielki bunt techniczny przeciwko każdemu dostawcy usług internetowych, który będzie próbował pobierać opłaty za urządzenie. Chociaż rozumiem, dlaczego dostawcy usług internetowych skaczą na ten pomysł, ponieważ teraz mogą właściwie powiedzieć, ile urządzeń znajduje się na drugim końcu połączenia.
Mark Henderson
1
Biorąc pod uwagę możliwość zapewnienia pewnego poziomu anonimowości za pomocą adresów tymczasowych dla połączeń wychodzących, egzekwowanie reguł dla poszczególnych urządzeń byłoby skomplikowane, jeśli nie niemożliwe. Urządzenie może mieć 2 lub więcej aktywnych adresów globalnych w ramach tego schematu, oprócz innych przypisanych.
BillThor
2
@ Mark Henderson - Istnieją już dostawcy usług internetowych, którzy pobierają opłaty za urządzenie. Na przykład AT&T pobiera dodatkową opłatę za „tethering”.
Richard Gadsden
1
@Richard - gdyby tak było, gdybym był z AT&T, upuściłbym je, jakby było gorąco
Mark Henderson
@Mark - To AT&T Wireless (patrz na przykład umowy iPhone'a).
Richard Gadsden,
-2

Do Twojej wiadomości: każdy zainteresowany używa NAT / NAPT z puszką IPV6. Wszystkie systemy operacyjne BSD, które mają PF, obsługują NAT66. Działa świetnie. Z bloga wykorzystaliśmy :

ipv6 nat (nat66) autorstwa FreeBSD pf

chociaż nat66 jest wciąż w fazie projektowania, ale FreeBSD pf już go obsługuje przez długi czas.

(edytuj plik pf.conf i wstaw następujące kody)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

Wszystko gotowe!

Działa świetnie dla nas, którzy od lat używają kałamarnicy z jednym adresem IP. Dzięki IPv6 NAT mogę uzyskać 2 ^ 120 prywatnych adresów (lokalna strona), które obejmują 2 ^ 56 podsieci z moimi podsieciami 5/64. Oznacza to, że muszę być 100 miliardów razy mądrzejszy niż jakikolwiek inny guru IPv6 tutaj, ponieważ mam więcej adresów.: D.

Prawda jest taka, że ​​tylko dlatego, że mam więcej adresów (lub mogłem używać IPv6 dłużej niż ty), naprawdę nie poprawia IPv6 (lub mnie z tego samego problemu). Sprawia to jednak, że IPv6 jest bardziej złożony, gdy zamiast PAT wymagana jest zapora ogniowa, a NAT nie jest już wymaganiem, ale jest opcją. Celem zapory jest zezwolenie na wszystkie połączenia wychodzące i utrzymanie stanu, ale blokowanie połączeń inicjowanych przez połączenia przychodzące.

Jeśli chodzi o NAPT (NAT z PAT), minie trochę czasu, aby wyciągnąć ludzi z myślenia. Na przykład, dopóki nie możemy nakłonić twojego pradziadka do skonfigurowania własnej zapory IPv6 bez adresowania lokalnego (adresy prywatne) i bez pomocy guru, dobrym pomysłem może być rozważenie możliwej idei NAT, ponieważ będzie to wszystko co wie.

gnarlymarley
źródło
2
Twój przeciętny sprzęt SOHO, który ostatecznie obsługuje IPv6, prawie na pewno przyjdzie bez NAT IPv6 (który podajesz, że NAT66 nie działa tak samo jak NATv4, ale i tak pójdziemy) i będzie domyślnie oferował odmowę reguły dla ruch przychodzący (wraz ze stanowym zezwoleniem na połączenia wychodzące), który zapewnia prawie takie same zabezpieczenia, jakie zapewnia dzisiejszy sprzęt SOHO IPv4. Jak zauważyli inni, rozumiemy, że ludzie popadają w samozadowolenie ze swoich technologii hakerskich, co nie oznacza, że ​​są oni potrzebni lub niewiele więcej niż teatr bezpieczeństwa.
Chris S
NAT66 nie musi działać tak samo jak NAT44. Musi tylko brzmieć tak samo, abyśmy mogli szybciej przyciągać ludzi do IPv6. Po przejściu na IPv6 powinniśmy być w stanie pracować jako zespół, aby poprawnie skonfigurować zaporę ogniową. Albo pracujemy jako zespół, albo musimy zacząć korzystać z NAT44444. Twój wybór.
gnarlymarley,
To nie tylko PF. W praktyce większość routerów może wykonywać ten sam rodzaj translacji NAT na IPv6, co na IPv4, tylko się skrzywiła. Widziałem tę funkcję w routerach Fortinet, a także w OpenWRT.
Kevin Keane
-2

Ostatnie propozycje dotyczące ipv6 sugerują, że inżynierowie pracujący nad nową technologią włączą NAT do ipv6, z podanego powodu: NAT oferuje dodatkową warstwę bezpieczeństwa

Dokumentacja znajduje się na stronie ipv6.com, więc wydaje się, że wszystkie te odpowiedzi stwierdzające, że NAT oferuje brak bezpieczeństwa, wyglądają na nieco zawstydzonych

Andrzej
źródło
1
Może mógłbyś rozwinąć dokładnie to, co dotyczy NAT, który Twoim zdaniem oferuje dodatkową warstwę bezpieczeństwa? W szczególności, jakie ryzyko jest ograniczone w stosunku do tego, które zagrożenie jest ograniczone?
growse
„Bezpieczeństwo” zapewniane przez NAT to zaciemnianie i zmuszanie sieci do przyjęcia domyślnie odmowy, ta pierwsza jest dyskusyjna, a druga jest dobrym pomysłem. Odmowę domyślną można osiągnąć równie łatwo innymi sposobami, a IPv6 usuwa jedną z głównych technicznych przyczyn NAT: niedobór adresów IP.
sysadmin1138
2
Na stronie IPv6.com znajduje się strona o NAT . Ma między innymi następujące zdanie: „Problem bezpieczeństwa jest często wykorzystywany w obronie procesu translacji adresów sieciowych. Jednak podstawową zasadą Internetu jest oferowanie kompleksowej łączności z różnymi zasobami sieciowymi. „ a także: „Ponieważ IPv6 powoli zastępuje protokół IPv4, proces translacji adresów sieciowych stanie się zbędny i bezużyteczny”.
Ladadadada
-6

Zdaję sobie sprawę, że w pewnym momencie (o którym można jedynie spekulować) regionalne adresy IPv4 nieuchronnie się skończą. Zgadzam się, że IPv6 ma poważne wady dla użytkowników. Kwestia NAT jest niezwykle ważna, ponieważ z natury zapewnia bezpieczeństwo, nadmiarowość, prywatność i pozwala użytkownikom łączyć prawie tyle urządzeń, ile chcą bez ograniczeń. Tak, zapora ogniowa jest złotym standardem przed niepożądanym włamaniem do sieci, ale NAT nie tylko dodaje kolejną warstwę ochrony, ale ogólnie zapewnia bezpieczny domyślny projekt niezależnie od konfiguracji zapory lub wiedzy użytkownika końcowego, bez względu na to, jak ją zdefiniujesz IPv4 z NAT, a firewall jest domyślnie jeszcze bardziej bezpieczny niż IPv6 tylko z firewallem. Kolejną kwestią jest prywatność, Posiadanie adresu internetowego do routingu na każdym urządzeniu otworzy użytkowników na wszelkiego rodzaju potencjalne naruszenia prywatności, gromadzenie i śledzenie danych osobowych w sposób, który trudno sobie wyobrazić w takiej masie. Uważam również, że bez Nat możemy zostać otwarci na dodatkowe koszty i kontrolę przez Isp. Isp mogą rozpocząć ładowanie na urządzeniu lub na poziomie wykorzystania użytkownika, tak jak to już widzieliśmy z tetheringiem przez USB, to znacznie zmniejszyłoby swobodę użytkownika końcowego w zakresie otwartego podłączania dowolnego urządzenia, które uzna za odpowiednie na linii. W chwili obecnej niewielu amerykańskich dostawców usług internetowych oferuje IPv6 w jakiejkolwiek formie i wydaje mi się, że firmy nietechniczne będą się powoli zmieniać ze względu na dodatkowy koszt przy niewielkiej lub żadnej wartości.

śmieciarz
źródło
4
NAT jest iluzją bezpieczeństwa.
Skaperen
4
NAT nie zapewnia żadnej ochrony. Jest to automatyczna zapora ogniowa, którą otrzymujesz z NAT, która zapewnia dowolną „ochronę”, z której możesz korzystać, a jednocześnie korzystasz ze wszystkich wad NAT.
Michael Hampton