Przejście na IPv6 oznacza porzucenie NAT. Czy to dobrze?

To jest pytanie kanoniczne dotyczące IPv6 i NAT

Związane z:

• Jak działa podsieć IPv6 i czym różni się od podsieci IPv4?
• Jak mogę „zanurzyć palce u stóp” w dynamicznym adresowaniu sieci IPv6?
• IPv6 bez nat, ale co ze zmianą ISP?

Nasz dostawca usług internetowych skonfigurował ostatnio IPv6, a ja zastanawiałem się, co to za przejście powinno pociągnąć za sobą, zanim przejdę do walki.

Zauważyłem trzy bardzo ważne kwestie:

1. Nasz biurowy router NAT (stary Linksys BEFSR41) nie obsługuje IPv6. Ani nowy router, AFAICT. Książka, którą czytam o IPv6, mówi mi, że sprawia, że ​​NAT i tak jest „niepotrzebny”.

2. Jeśli mamy się po prostu pozbyć tego routera i podłączyć wszystko bezpośrednio do Internetu, zaczynam panikować. W piekle nie ma mowy, że umieszczę naszą bazę rozliczeniową (z dużą ilością informacji o karcie kredytowej!) W Internecie, aby każdy mógł ją zobaczyć. Nawet jeśli miałbym zaproponować skonfigurowanie na nim zapory systemu Windows, aby umożliwić dostęp do niego tylko 6 adresom, wciąż mam zimny pot. Nie ufam systemowi Windows, zaporze ogniowej systemu Windows ani sieci na tyle dużej, że nawet z tym czuję się komfortowo.

3. Istnieje kilka starych urządzeń (tj. Drukarek), które absolutnie nie mają żadnych możliwości IPv6. I prawdopodobnie lista problemów związanych z bezpieczeństwem, które pochodzą z około 1998 roku. I prawdopodobnie nie da się ich w żaden sposób załatać. I brak funduszy na nowe drukarki.

Słyszę, że IPv6 i IPSEC powinny jakoś to wszystko zabezpieczyć, ale bez fizycznie oddzielonych sieci, które sprawiają, że te urządzenia są niewidoczne dla Internetu, naprawdę nie widzę, jak to zrobić. Tak samo naprawdę widzę, jak wszelkie obrony, które stworzę, zostaną przejęte w krótkim czasie. Od lat obsługuję serwery w Internecie i jestem w pełni zaznajomiony z niezbędnymi rzeczami, aby je zabezpieczyć, ale umieszczenie czegoś prywatnego w sieci, takiego jak nasza baza danych rozliczeniowych, zawsze było całkowicie wykluczone.

Czym powinienem zastąpić NAT, jeśli nie mamy fizycznie oddzielnych sieci?

Przede wszystkim nie ma się czego obawiać przed publicznym przydzieleniem adresu IP, o ile urządzenia zabezpieczające są odpowiednio skonfigurowane.

Czym powinienem zastąpić NAT, jeśli nie mamy fizycznie oddzielnych sieci?

To samo, z czym fizycznie je rozdzielamy od lat 80-tych, routery i zapory ogniowe. Jednym z dużych korzyści bezpieczeństwa uzyskanych dzięki NAT jest to, że zmusza cię do konfiguracji domyślnej odmowy. Aby uzyskać przez to jakąkolwiek usługę, musisz jawnie dziurawić dziury. Bardziej zaawansowane urządzenia umożliwiają nawet stosowanie list ACL opartych na IP do tych dziur, podobnie jak zapora ogniowa. Prawdopodobnie dlatego, że mają „zaporę ogniową” na pudełku.

Prawidłowo skonfigurowana zapora zapewnia dokładnie tę samą usługę, co brama NAT. Bramy NAT są często używane, ponieważ łatwiej jest uzyskać bezpieczną konfigurację niż większość zapór.

Słyszę, że IPv6 i IPSEC powinny jakoś to wszystko zabezpieczyć, ale bez fizycznie oddzielonych sieci, które sprawiają, że te urządzenia są niewidoczne dla Internetu, naprawdę nie widzę, jak to zrobić.

To jest nieporozumienie. Pracuję dla uniwersytetu, który ma przydział IPv4 / 16, a ogromna większość naszego zużycia adresu IP dotyczy tego publicznego przydziału. Z pewnością wszystkie nasze stacje robocze i drukarki dla użytkowników końcowych. Nasze zużycie RFC1918 jest ograniczone do urządzeń sieciowych i niektórych określonych serwerów, na których takie adresy są wymagane. Nie zdziwiłbym się, gdybyś właśnie zadrżał właśnie teraz, ponieważ z pewnością zrobiłem to, gdy pojawiłem się pierwszego dnia i zobaczyłem to na monitorze z moim adresem IP.

A jednak przetrwamy. Dlaczego? Ponieważ mamy zewnętrzną zaporę sieciową skonfigurowaną do domyślnego odrzucania z ograniczoną przepustowością ICMP. Fakt, że 140.160.123.45 jest teoretycznie możliwy do przejechania, nie oznacza, że ​​możesz się tam dostać z dowolnego miejsca w publicznym Internecie. Do tego właśnie zostały zaprojektowane zapory ogniowe.

Przy odpowiednich konfiguracjach routera różne podsieci w naszej alokacji mogą być od siebie całkowicie niedostępne. Możesz to zrobić w tablicach routerów lub zaporach ogniowych. To osobna sieć, która w przeszłości zadowalała naszych audytorów bezpieczeństwa.

W piekle nie ma mowy, że umieszczę naszą bazę rozliczeniową (z dużą ilością informacji o karcie kredytowej!) W Internecie, aby każdy mógł ją zobaczyć.

Nasza baza danych rozliczeniowych znajduje się na publicznym adresie IPv4 i istnieje przez cały okres jej istnienia, ale mamy dowód, że nie możesz się stąd dostać. To, że adres znajduje się na publicznej liście tras w wersji 4, nie oznacza, że ​​jest gwarantowany. Dwie zapory ogniowe między złem Internetu i rzeczywistymi portami bazy danych odfiltrowują zło. Nawet z mojego biurka za pierwszym firewallem nie mogę dostać się do tej bazy danych.

Informacje o karcie kredytowej to jeden szczególny przypadek. Jest to zgodne ze standardami PCI-DSS, a standardy stwierdzają bezpośrednio, że serwery zawierające takie dane muszą znajdować się za bramą NAT ¹ . Nasze są, a te trzy serwery reprezentują nasze całkowite wykorzystanie serwerów przez adresy RFC1918. Nie dodaje żadnych zabezpieczeń, tylko warstwę złożoności, ale musimy zaznaczyć to pole wyboru do kontroli.

Oryginalna idea „IPv6 sprawia, że ​​NAT jest już przeszłością” została zgłoszona, zanim boom internetowy naprawdę znalazł się w głównym nurcie. W 1995 r. NAT było obejściem problemu z obejściem niewielkiej alokacji IP. W 2005 r. Został zapisany w wielu dokumentach dotyczących najlepszych praktyk bezpieczeństwa oraz w co najmniej jednym głównym standardzie (konkretnie PCI-DSS). Jedyną konkretną korzyścią, jaką daje NAT, jest to, że zewnętrzny podmiot wykonujący rozpoznawanie w sieci nie wie, jak wygląda krajobraz IP za urządzeniem NAT (choć dzięki RFC1918 mają dobre przypuszczenia), i na IPv4 bez NAT (takie jak jak moja praca) tak nie jest. To mały krok w obronie dogłębnej, a nie duży.

Zastąpienie adresów RFC1918 to tak zwane unikalne adresy lokalne. Podobnie jak RFC1918, nie trasują, chyba że rówieśnicy wyraźnie zgodzą się na ich trasowanie. W przeciwieństwie do RFC1918 są (prawdopodobnie) globalnie unikalne. Translatory adresów IPv6, które tłumaczą ULA na globalne adresy IP, istnieją w obwodowym sprzęcie wyższego zakresu, na pewno jeszcze nie w sprzęcie SOHO.

Możesz dobrze przetrwać z publicznym adresem IP. Pamiętaj tylko, że „publiczne” nie gwarantuje „osiągalności”, a wszystko będzie dobrze.

Aktualizacja 2017

W ciągu ostatnich kilku miesięcy Amazon aws dodawał obsługę IPv6. Właśnie został dodany do ich oferty amazon-vpc , a ich wdrożenie daje pewne wskazówki, jak należy oczekiwać wdrożeń na dużą skalę.

• Otrzymujesz przydział / 56 (256 podsieci).
• Alokacja jest w pełni trasowalną podsiecią.
• Oczekuje się, że reguły zapory sieciowej ( grupy zabezpieczeń ) będą odpowiednio restrykcyjne.
• Nie ma NAT, nie jest nawet oferowany, więc cały ruch wychodzący będzie pochodził z faktycznego adresu IP instancji.

Aby ponownie dodać jedną z zalet bezpieczeństwa NAT, oferują teraz bramę internetową tylko do Egress . Daje to jedną zaletę NAT:

• Nie można uzyskać bezpośredniego dostępu do podsieci z Internetu.

Który zapewnia warstwę dogłębnej obrony, na wypadek, gdyby źle skonfigurowana reguła zapory sieciowej przypadkowo zezwoli na ruch przychodzący.

Ta oferta nie tłumaczy adresu wewnętrznego na pojedynczy adres, tak jak NAT. Ruch wychodzący nadal będzie miał źródłowy adres IP instancji, która otworzyła połączenie. Operatorzy zapory sieciowej, którzy chcą umieścić zasoby na białej liście w VPC, lepiej będą korzystać z blokowania sieci na białej liście niż z określonych adresów IP.

Trasa nie zawsze oznacza osiągalność .

¹ : Standardy PCI-DSS zmieniły się w październiku 2010 r., Oświadczenie nakazujące adresy RFC1918 zostało usunięte, a zastąpiła je „izolacja sieci”.

Nasz biurowy router NAT (stary Linksys BEFSR41) nie obsługuje IPv6. Nie ma też żadnego nowszego routera

IPv6 jest obsługiwany przez wiele routerów. Tylko nie tak wiele z tych tanich skierowanych do konsumentów i SOHO. W najgorszym przypadku wystarczy użyć Linux-a lub ponownie flashować router za pomocą dd-wrt lub czegoś, aby uzyskać obsługę IPv6. Istnieje wiele opcji, prawdopodobnie po prostu musisz wyglądać mocniej.

Jeśli mamy się po prostu pozbyć tego routera i podłączyć wszystko bezpośrednio do Internetu,

Nic o przejściu na IPv6 nie sugeruje, że powinieneś pozbyć się obwodowych urządzeń zabezpieczających, takich jak router / zapora ogniowa. Routery i zapory ogniowe nadal będą wymaganym składnikiem niemal każdej sieci.

Wszystkie routery NAT działają skutecznie jako zapora stanowa. W użyciu adresów RFC1918 nie ma nic magicznego, co by cię tak bardzo chroniło. To stanowy kawałek, który wykonuje ciężką pracę. Prawidłowo skonfigurowana zapora sieciowa będzie Cię równie dobrze chronić, jeśli używasz prawdziwych lub prywatnych adresów.

Jedyną ochroną, jaką otrzymujesz z adresów RFC1918, jest to, że pozwala ludziom uniknąć błędów / lenistwa w konfiguracji zapory i nadal nie jest aż tak podatna na ataki.

Istnieje kilka starych urządzeń (tj. Drukarek), które absolutnie nie mają żadnych możliwości IPv6.

Więc? Jest mało prawdopodobne, że będziesz musiał udostępnić to przez Internet, a w sieci wewnętrznej możesz nadal uruchamiać IPv4 i IPv6, dopóki wszystkie urządzenia nie będą obsługiwane lub wymienione.

Jeśli uruchamianie wielu protokołów nie jest opcją, może być konieczne skonfigurowanie jakiegoś rodzaju bramy / proxy.

IPSEC ma jakoś to wszystko zabezpieczyć

Szyfrowane przez IPSEC i uwierzytelnia pakiety. Nie ma to nic wspólnego z pozbyciem się urządzenia granicznego i zapewnia lepszą ochronę przesyłanych danych.

Tak. NAT nie żyje. Podjęto pewne próby ratyfikacji standardów NAT przez IPv6, ale żadna z nich nigdy nie powstała.

To faktycznie spowodowało problemy dla dostawców, którzy próbują spełnić standardy PCI-DSS, ponieważ standard faktycznie stwierdza, że ​​musisz być za NAT.

Dla mnie to jedna z najwspanialszych wiadomości, jakie kiedykolwiek słyszałem. Nienawidzę NAT i jeszcze bardziej nienawidzę NAT klasy operatorskiej.

NAT miał być tylko bandaidowym rozwiązaniem, które prowadzi nas do momentu, aż IPv6 stanie się standardem, ale zakorzenił się w społeczeństwie internetowym.

W okresie przejściowym należy pamiętać, że IPv4 i IPv6, oprócz podobnej nazwy, są zupełnie inne ¹ . Tak więc urządzenia z podwójnym stosem IPv4 będą NATowane, a IPv6 nie. To prawie tak, jakby mieć dwa całkowicie oddzielne urządzenia, po prostu zapakowane w jeden kawałek plastiku.

Jak działa dostęp do Internetu IPv6? Sposób, w jaki działał Internet przed wynalezieniem NAT. Twój dostawca usług internetowych przydzieli ci zakres adresów IP (tak samo jak teraz, ale zazwyczaj przypisuje ci / 32, co oznacza, że ​​otrzymujesz tylko jeden adres IP), ale twój zakres będzie zawierał miliony dostępnych adresów IP. Możesz dowolnie wypełniać te adresy IP według własnego wyboru (z automatyczną konfiguracją lub DHCPv6). Każdy z tych adresów IP będzie widoczny z dowolnego innego komputera w Internecie.

Brzmi przerażająco, prawda? Twój kontroler domeny, domowy komputer multimedialny i twój iPhone z ukrytym zasobem pornografii będą dostępne z Internetu ?! Więc nie. Po to jest zapora ogniowa. Inną wielką cechą protokołu IPv6 jest wymuszenie przez zapory ogniowe podejścia „Zezwól na wszystko” (jak większość urządzeń domowych) na podejście „Odmów wszystkiego”, w którym otwierane są usługi dla określonych adresów IP. 99,999% użytkowników domowych z przyjemnością utrzyma domyślne zapory i całkowicie je zablokuje, co oznacza, że ​​nie będzie dozwolony żaden niepożądany ruch.

¹ _{Ok, jest o wiele więcej, ale nie są one w żaden sposób ze sobą kompatybilne, mimo że oba pozwalają na stosowanie tych samych protokołów}

Wymagania PCI-DSS dla NAT są dobrze znane jako teatr bezpieczeństwa, a nie rzeczywiste bezpieczeństwo.

Najnowszy PCI-DSS zrezygnował z nazwania NAT bezwzględnym wymogiem. Wiele organizacji przeszło audyty PCI-DSS z IPv4 bez NAT pokazujące stan zapory ogniowej jako „równoważne implementacje bezpieczeństwa”.

Istnieją inne dokumenty teatru bezpieczeństwa wzywające do NAT, ale ponieważ niszczy ścieżki audytu i utrudnia dochodzenie / łagodzenie incydentów, bardziej dogłębne badanie NAT (z PAT lub bez) jest ujemne pod względem bezpieczeństwa netto.

Dobry stanowy firewall bez NAT jest znacznie lepszym rozwiązaniem niż NAT w świecie IPv6. W IPv4 NAT jest złem koniecznym do tolerowania ze względu na zachowanie adresu.

(Niestety) minie trochę czasu, zanim będziesz mógł uciec z siecią opartą na pojedynczym stosie IPv6. Do tego czasu można uruchomić podwójny stos z preferencją IPv6, gdy jest dostępny.

Podczas gdy większość routerów konsumenckich nie obsługuje obecnie IPv6 z zapasowym oprogramowaniem układowym, wielu może go obsługiwać za pomocą oprogramowania firm trzecich (np. Linksys WRT54G z dd-wrt itp.). Ponadto wiele urządzeń klasy biznesowej (Cisco, Juniper) obsługuje protokół IPv6 od razu po wyjęciu z pudełka.

Ważne jest, aby nie mylić PAT (translacja NAT typu „wiele do jednego”, jak to jest powszechnie stosowane w routerach konsumenckich) z innymi formami NAT oraz z zaporą ogniową wolną od NAT; gdy Internet stanie się tylko IPv6, zapory ogniowe nadal będą zapobiegać narażeniu usług wewnętrznych. Podobnie system IPv4 z NAT typu jeden do jednego nie jest automatycznie chroniony; to zadanie polityki zapory ogniowej.

Istnieje ogromna dezorientacja w tym temacie, ponieważ administratorzy sieci widzą NAT w jednym świetle, a małe firmy i klienci indywidualni w innym. Pozwól mi wyjaśnić.

Statyczny NAT (czasem nazywany NAT-em jeden-do-jednego) nie zapewnia absolutnie żadnej ochrony twojej sieci prywatnej lub pojedynczego komputera. Zmiana adresu IP jest bez znaczenia dla ochrony.

Dynamiczne przeciążenie NAT / PAT, takie jak większość bram domowych i AP Wi-Fi, absolutnie pomaga chronić twoją prywatną sieć i / lub komputer. Z założenia tablica NAT w tych urządzeniach jest tablicą stanów. Śledzi żądania wychodzące i mapuje je w tabeli NAT - po pewnym czasie połączenia tracą ważność. Wszelkie niechciane ramki przychodzące, które nie pasują do zawartości tabeli NAT, są domyślnie usuwane - router NAT nie wie, gdzie wysłać je w sieci prywatnej, więc je upuszcza. W ten sposób jedynym urządzeniem, na które narażasz się na włamanie, jest router. Ponieważ większość exploitów zabezpieczających opiera się na systemie Windows - posiadanie takiego urządzenia między Internetem a komputerem z systemem Windows naprawdę pomaga chronić sieć. Może nie być pierwotnie zamierzoną funkcją, który miał zaoszczędzić na publicznych adresach IP, ale wykonuje zadanie. Jako bonus, większość z tych urządzeń ma również zaporę ogniową, która wielokrotnie domyślnie blokuje żądania ICMP, co również pomaga chronić sieć.

Biorąc pod uwagę powyższe informacje, pozbycie się NAT przy przejściu na IPv6 może narazić miliony klientów indywidualnych i małych firm na potencjalne włamanie. Będzie to miało niewielki lub żaden wpływ na sieci korporacyjne, ponieważ profesjonalnie zarządzają zaporami ogniowymi na ich krawędzi. Sieci konsumenckie i małe firmy mogą już nie mieć routera NAT opartego na * nix między Internetem a komputerem. Nie ma powodu, dla którego dana osoba nie mogłaby przejść na rozwiązanie oparte wyłącznie na zaporze ogniowej - znacznie bezpieczniejsze przy prawidłowym wdrożeniu, ale także poza tym, co 99% konsumentów rozumie, jak to zrobić. Dynamiczny przeciążony NAT daje odrobinę ochrony tylko przez jego użycie - podłącz router domowy i jesteś chroniony. Łatwo.

To powiedziawszy, nie ma powodu, aby NAT nie mógł być używany dokładnie w taki sam sposób, jak jest używany w IPv4. W rzeczywistości router można zaprojektować tak, aby miał jeden adres IPv6 na porcie WAN, a za nim znajdowała się prywatna sieć IPv4 z NAT (na przykład). To byłoby proste rozwiązanie dla konsumentów i osób prywatnych. Inną opcją jest umieszczenie wszystkich urządzeń z publicznymi adresami IPv6 - urządzenie pośrednie może wtedy działać jako urządzenie L2, ale zapewnia tablicę stanów, kontrolę pakietów i w pełni funkcjonalną zaporę ogniową. Zasadniczo brak NAT, ale nadal blokuje niechciane ramki przychodzące. Ważne jest, aby pamiętać, że nie należy podłączać komputera bezpośrednio do połączenia WAN bez żadnego urządzenia pośredniczącego. Chyba że oczywiście chcesz polegać na zaporze systemu Windows. . . i to jest inna dyskusja.

Przejście na IPv6 będzie narastać, ale nie ma problemu, którego nie da się rozwiązać dość łatwo. Czy będziesz musiał porzucić stary router IPv4 lub bramę domową? Może, ale pojawią się niedrogie nowe rozwiązania, gdy przyjdzie czas. Mamy nadzieję, że wiele urządzeń będzie wymagało flashowania oprogramowania układowego. Czy IPv6 może zostać zaprojektowany tak, aby pasował bardziej płynnie do obecnej architektury? Jasne, ale takie jest i nie odchodzi - więc równie dobrze możesz się tego nauczyć, przeżyć, pokochać.

Jeśli NAT przetrwa w świecie IPv6, najprawdopodobniej będzie to NAT 1: 1. Forma NAT nigdy nie widziana w przestrzeni IPv4. Co to jest NAT 1: 1? To tłumaczenie globalnego adresu 1: 1 na adres lokalny. Odpowiednikiem IPv4 byłoby tłumaczenie wszystkich połączeń na 1.1.1.2 tylko na 10.1.1.2 i tak dalej dla całej przestrzeni 1.0.0.0/8. Wersja IPv6 polegałaby na przetłumaczeniu adresu globalnego na unikalny adres lokalny.

Zwiększone bezpieczeństwo można zapewnić, często zmieniając mapowanie adresów, które nie są dla Ciebie ważne (np. Użytkownicy biurowi wewnętrzni przeglądający Facebook). Wewnętrznie numery ULA pozostałyby takie same, więc DNS z podziałem horyzontu nadal działałby dobrze, ale zewnętrzni klienci nigdy nie byliby na przewidywalnym porcie.

Ale tak naprawdę to niewielka poprawa bezpieczeństwa w przypadku problemów, które powoduje. Skanowanie podsieci IPv6 jest naprawdę dużym zadaniem i jest niewykonalne bez pewnej zmiany sposobu przypisywania adresów IP w tych podsieciach (metoda generowania MAC? Metoda losowa? Przypisanie statyczne adresów czytelnych dla człowieka?).

W większości przypadków zdarza się, że klienci za korporacyjną zaporą ogniową otrzymają adres globalny, być może ULA, a zapora obwodowa zostanie ustawiona tak, aby odmawiać wszelkiego rodzaju połączeń przychodzących do tych adresów. Do wszystkich celów i celów adresy te są nieosiągalne z zewnątrz. Gdy klient wewnętrzny zainicjuje połączenie, pakiety będą przepuszczane wzdłuż tego połączenia. Potrzebę zmiany adresu IP na coś zupełnie innego rozwiązuje się, zmuszając atakującego do przejrzenia 2 ^ 64 możliwych adresów w tej podsieci.

RFC 4864 opisuje ochronę sieci lokalnej IPv6 , zestaw podejść do zapewnienia postrzeganych korzyści NAT w środowisku IPv6, bez konieczności uciekania się do NAT.

W tym dokumencie opisano szereg technik, które można połączyć w witrynie IPv6 w celu ochrony integralności jej architektury sieciowej. Techniki te, zwane łącznie ochroną sieci lokalnej, zachowują koncepcję dobrze zdefiniowanej granicy między „wewnętrzną” i „zewnętrzną” siecią prywatną oraz umożliwiają zaporę ogniową, ukrywanie topologii i prywatność. Ponieważ jednak zachowują przejrzystość adresów tam, gdzie jest to potrzebne, osiągają te cele bez niekorzystnego wpływu tłumaczenia adresów. Dlatego ochrona sieci lokalnej w IPv6 może zapewnić zalety translacji adresów sieciowych IPv4 bez odpowiednich wad.

Najpierw określa, jakie są postrzegane korzyści z NAT (i obala je w razie potrzeby), a następnie opisuje funkcje IPv6, których można użyć, aby zapewnić te same korzyści. Zawiera także uwagi dotyczące wdrażania i analizy przypadków.

Chociaż jest tu zbyt długo, aby przedrukować tutaj, omawiane korzyści to:

• Prosta brama między „wewnątrz” a „na zewnątrz”
• Zapora stanowa
• Śledzenie użytkowników / aplikacji
• Ukrywanie prywatności i topologii
• Niezależna kontrola adresowania w sieci prywatnej
• Multihoming / numeracja

To w zasadzie obejmuje wszystkie scenariusze, w których można było chcieć NAT i oferuje rozwiązania do ich implementacji w IPv6 bez NAT.

Niektóre technologie, których będziesz używać to:

• Unikalne adresy lokalne: Preferuj je w sieci wewnętrznej, aby zachować wewnętrzną komunikację wewnętrzną i zapewnić, że komunikacja wewnętrzna może być kontynuowana, nawet jeśli dostawca usług internetowych przestanie działać.
• Rozszerzenia prywatności IPv6 o krótkim okresie istnienia adresu i niejednoznacznie ustrukturyzowanych identyfikatorach interfejsów: Pomagają zapobiegać atakom na poszczególne hosty i skanowanie podsieci.
• IGP, Mobile IPv6 lub VLAN mogą być używane do ukrywania topologii sieci wewnętrznej.
• Wraz z ULA, DHCP-PD od dostawcy usług internetowych ułatwia numerację / multihoming niż w przypadku IPv4.

( Aby uzyskać szczegółowe informacje, zapoznaj się z dokumentem RFC ; ponownie, jest zbyt długo, aby przedrukować, a nawet wziąć znaczące fragmenty.)

Bardziej ogólne omówienie bezpieczeństwa przejścia IPv6, patrz RFC 4942 .

Rodzaj. W rzeczywistości istnieją różne „typy” adresów IPv6. Najbliżej RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) nazywa się „Unikalny adres lokalny” i jest zdefiniowany w RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Więc zaczynasz od fd00 :: / 8, a następnie dodajesz 40-bitowy ciąg znaków (używając wstępnie zdefiniowanego algorytmu w RFC!), A kończysz na pseudolosowym / 48 prefiksie, który powinien być globalnie unikalny. Pozostałą część przestrzeni adresowej możesz przypisać w dowolny sposób.

Powinieneś także zablokować fd00 :: / 7 (fc00 :: / 8 i fd00 :: / 8) na routerze (IPv6) poza swoją organizacją - stąd „lokalny” w nazwie adresu. Adresy te, będąc w globalnej przestrzeni adresowej, nie powinny być dostępne dla całego świata, tylko w „Twojej organizacji”.

Jeśli twoje serwery PCI-DSS potrzebują IPv6 do połączenia z innymi wewnętrznymi hostami IPv6, powinieneś wygenerować prefiks ULA dla swojej firmy i użyć go do tego celu. Możesz użyć automatycznej konfiguracji IPv6, tak jak każdego innego prefiksu, jeśli chcesz.

Biorąc pod uwagę, że protokół IPv6 został zaprojektowany tak, aby hosty mogły mieć wiele adresów, komputer może mieć - oprócz ULA - również adres globalnie routowalny. Tak więc serwer WWW, który musi rozmawiać zarówno ze światem zewnętrznym, jak i z komputerami wewnętrznymi, może mieć zarówno adres prefiksu przydzielony przez dostawcę usług internetowych, jak i prefiks ULA.

Jeśli chcesz mieć funkcjonalność podobną do NAT, możesz również spojrzeć na NAT66, ale ogólnie bym architektował wokół ULA. Jeśli masz dodatkowe pytania, możesz sprawdzić listę mailingową „ipv6-ops”.

IMHO: nie.

Wciąż są miejsca, w których SNAT / DNAT może być użyteczny. Na przykład niektóre serwery zostały przeniesione do innej sieci, ale nie chcemy / nie możemy zmienić adresu IP aplikacji.

Mamy nadzieję, że NAT zniknie na zawsze. Przydaje się to tylko wtedy, gdy masz niedobór adresu IP i nie masz żadnych funkcji bezpieczeństwa, które nie są lepsze, tańsze i łatwiejsze do zarządzania przez zaporę stanową.

Ponieważ IPv6 = koniec niedoboru, oznacza to, że możemy pozbyć się świata brzydkiego włamania, jakim jest NAT.

Nie widziałem ostatecznej odpowiedzi na pytanie, w jaki sposób utrata NAT (jeśli naprawdę zniknie) z IPv6 wpłynie na prywatność użytkowników.

Dzięki publicznie ujawnionym adresom IP poszczególnych urządzeń usługi internetowe będą znacznie łatwiejsze do monitorowania (gromadzenia, przechowywania, agregowania w czasie, przestrzeni i witrynach oraz ułatwiania wielu wtórnych zastosowań) podczas podróży po Internecie z różnych urządzeń. Chyba że ... Dostawcy usług internetowych, routery i inny sprzęt umożliwiają i łatwo mają dynamiczne adresy IPv6, które można często zmieniać dla każdego urządzenia.

Oczywiście bez względu na to, co nadal będzie miało problem ze statycznymi adresami MAC Wi-Fi, które są publiczne, ale to inna historia ...

Istnieje wiele schematów obsługi NAT w scenariuszu przejścia V4 na V6. Jeśli jednak masz całą sieć IPV6 i łączysz się z nadrzędnym dostawcą IPV6, NAT nie jest częścią nowego porządku światowego, z wyjątkiem tego, że możesz tunelować między sieciami V4 przez sieci V6.

Cisco ma wiele ogólnych informacji na temat scenariuszy, migracji i tunelowania 4to6.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Również w Wikipedii:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

Polityka i podstawowa praktyka biznesowa najprawdopodobniej przyczynią się do powstania NAT. Mnóstwo adresów IPv6 oznacza, że ​​dostawcy usług internetowych będą mieli ochotę pobierać opłaty za urządzenie lub ograniczać połączenia tylko do ograniczonej liczby urządzeń. Zobacz ostatni artykuł na temat /. na przykład:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

Do Twojej wiadomości: każdy zainteresowany używa NAT / NAPT z puszką IPV6. Wszystkie systemy operacyjne BSD, które mają PF, obsługują NAT66. Działa świetnie. Z bloga wykorzystaliśmy :

ipv6 nat (nat66) autorstwa FreeBSD pf

chociaż nat66 jest wciąż w fazie projektowania, ale FreeBSD pf już go obsługuje przez długi czas.

(edytuj plik pf.conf i wstaw następujące kody)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

Wszystko gotowe!

Działa świetnie dla nas, którzy od lat używają kałamarnicy z jednym adresem IP. Dzięki IPv6 NAT mogę uzyskać 2 ^ 120 prywatnych adresów (lokalna strona), które obejmują 2 ^ 56 podsieci z moimi podsieciami 5/64. Oznacza to, że muszę być 100 miliardów razy mądrzejszy niż jakikolwiek inny guru IPv6 tutaj, ponieważ mam więcej adresów.: D.

Prawda jest taka, że ​​tylko dlatego, że mam więcej adresów (lub mogłem używać IPv6 dłużej niż ty), naprawdę nie poprawia IPv6 (lub mnie z tego samego problemu). Sprawia to jednak, że IPv6 jest bardziej złożony, gdy zamiast PAT wymagana jest zapora ogniowa, a NAT nie jest już wymaganiem, ale jest opcją. Celem zapory jest zezwolenie na wszystkie połączenia wychodzące i utrzymanie stanu, ale blokowanie połączeń inicjowanych przez połączenia przychodzące.

Jeśli chodzi o NAPT (NAT z PAT), minie trochę czasu, aby wyciągnąć ludzi z myślenia. Na przykład, dopóki nie możemy nakłonić twojego pradziadka do skonfigurowania własnej zapory IPv6 bez adresowania lokalnego (adresy prywatne) i bez pomocy guru, dobrym pomysłem może być rozważenie możliwej idei NAT, ponieważ będzie to wszystko co wie.

Ostatnie propozycje dotyczące ipv6 sugerują, że inżynierowie pracujący nad nową technologią włączą NAT do ipv6, z podanego powodu: NAT oferuje dodatkową warstwę bezpieczeństwa

Dokumentacja znajduje się na stronie ipv6.com, więc wydaje się, że wszystkie te odpowiedzi stwierdzające, że NAT oferuje brak bezpieczeństwa, wyglądają na nieco zawstydzonych

Zdaję sobie sprawę, że w pewnym momencie (o którym można jedynie spekulować) regionalne adresy IPv4 nieuchronnie się skończą. Zgadzam się, że IPv6 ma poważne wady dla użytkowników. Kwestia NAT jest niezwykle ważna, ponieważ z natury zapewnia bezpieczeństwo, nadmiarowość, prywatność i pozwala użytkownikom łączyć prawie tyle urządzeń, ile chcą bez ograniczeń. Tak, zapora ogniowa jest złotym standardem przed niepożądanym włamaniem do sieci, ale NAT nie tylko dodaje kolejną warstwę ochrony, ale ogólnie zapewnia bezpieczny domyślny projekt niezależnie od konfiguracji zapory lub wiedzy użytkownika końcowego, bez względu na to, jak ją zdefiniujesz IPv4 z NAT, a firewall jest domyślnie jeszcze bardziej bezpieczny niż IPv6 tylko z firewallem. Kolejną kwestią jest prywatność, Posiadanie adresu internetowego do routingu na każdym urządzeniu otworzy użytkowników na wszelkiego rodzaju potencjalne naruszenia prywatności, gromadzenie i śledzenie danych osobowych w sposób, który trudno sobie wyobrazić w takiej masie. Uważam również, że bez Nat możemy zostać otwarci na dodatkowe koszty i kontrolę przez Isp. Isp mogą rozpocząć ładowanie na urządzeniu lub na poziomie wykorzystania użytkownika, tak jak to już widzieliśmy z tetheringiem przez USB, to znacznie zmniejszyłoby swobodę użytkownika końcowego w zakresie otwartego podłączania dowolnego urządzenia, które uzna za odpowiednie na linii. W chwili obecnej niewielu amerykańskich dostawców usług internetowych oferuje IPv6 w jakiejkolwiek formie i wydaje mi się, że firmy nietechniczne będą się powoli zmieniać ze względu na dodatkowy koszt przy niewielkiej lub żadnej wartości.