Вопрос: Переход на IPv6 подразумевает отказ от NAT. Это хорошая вещь?


Это Канонический вопрос о IPv6 и NAT

Связанный:

Поэтому наш интернет-провайдер недавно создал IPv6, и я изучаю, что должен произойти переход, прежде чем переходить на битву.

Я заметил три очень важных вопроса:

  1. Наш маршрутизатор NAT (старый Linksys BEFSR41) не поддерживает IPv6. Ни один новый маршрутизатор, AFAICT. Книга, которую я читаю о IPv6, говорит мне, что она делает NAT «ненужным» в любом случае.

  2. Если мы должны просто избавиться от этого маршрутизатора и подключить все непосредственно к Интернету, я начинаю паниковать. Нет никакого способа в аду Я положу нашу базу данных биллинга (с большим количеством информации о кредитной карте!) В Интернете, чтобы все могли видеть. Даже если бы я предлагал настроить брандмауэр Windows на нем, чтобы разрешить доступ только к 6 адресам, я все равно выхожу в холодном поту. Я не доверяю Windows, брандмауэру Windows или сети в целом достаточно, чтобы даже быть удаленно комфортно с этим.

  3. Существует несколько старых аппаратных устройств (то есть принтеров), которые вообще не имеют возможности IPv6. И, вероятно, список проблем безопасности, которые относятся к 1998 году, и, вероятно, никак не могут их каким-либо образом исправить. И никакого финансирования для новых принтеров.

Я слышал, что IPv6 и IPSEC должны как-то сделать все это безопасным, но без физически разделенных сетей, которые делают эти устройства невидимыми для Интернета, я действительно не вижу, как это сделать. Я также могу действительно посмотрите, как любая защита, которую я создаю, будет переполнена в короткие сроки. Я работаю над серверами в Интернете уже много лет, и я хорошо знаком с вещами, необходимыми для их защиты, но вставляя в Сеть что-то частное, как и наша биллинговая база данных, всегда было совершенно исключено.

Что мне следует заменять NAT, если у нас нет физически раздельных сетей?


100
2017-09-24 23:33


Источник


Можете ли вы попробовать повторить это? Сейчас это кажется довольно аргументированным. - Zoredache
То, что вы шокирован не существует. Возможно, вам следует переформатировать свой вопрос таким образом, чтобы описать то, что вы считаете фактами, и попросить нас подтвердить их. Вместо того, чтобы жаловаться на то, что вы предположили, будет работать определенным образом. - Zoredache
Кроме того, вы храните информацию о кредитной карте? И у вас есть много вопросов о безопасности? Вы когда-нибудь проходили проверку PCI? Или вы нарушаете свой контракт, сохраняя данные кредитной карты? Возможно, вы захотите изучить это, посмертную. - mfinni
Я не могу с чистой совестью проголосовать или проголосовать за закрытие этого вопроса либо на том основании, что плакат плохо информирован (конечно, это половина точки сайта). Конечно, ОП идет по большой касательной, основанной на ложном предположении, и этот вопрос может быть связан с переписыванием. - Chris Thorpe
«Больше нет NAT» является окончательно одной из целей IPv6. Хотя на данный момент кажется (по крайней мере, здесь), что интерес к действительному предложению IPv6 не очень большой, за исключением центров обработки данных (поскольку большие пакеты означают большую пропускную способность, а большая пропускная способность означает для них больше денег!). Для DSL это наоборот, хотя почти все имеют плоскость, поэтому IPv6 означает больше проблем и больше затрат для провайдеров. - dm.skt


Ответы:


Прежде всего, нет ничего страшного в том, что вы используете публичное размещение IP-адресов, если ваши устройства безопасности настроены правильно.

Что мне следует заменять NAT, если у нас нет физически раздельных сетей?

То же самое мы физически разделили с 1980-х, маршрутизаторами и брандмауэрами. Один большой выигрыш в области безопасности, который вы получаете с NAT, заключается в том, что он заставляет вас настроить конфигурацию по умолчанию. Чтобы получить Любые службы через него, вы должны эксплицитно дырокол. Устройства fancier даже позволяют вам применять ACL на основе IP-адресов для этих отверстий, как и брандмауэр. Наверное, потому что на самом деле у них есть «Брандмауэр».

Правильно настроенный брандмауэр предоставляет точно такую ​​же услугу, как шлюз NAT. NAT-шлюзы часто используются, потому что они Полегче чтобы попасть в безопасную конфигурацию, чем большинство брандмауэров.

Я слышал, что IPv6 и IPSEC должны как-то сделать все это безопасным, но без физически разделенных сетей, которые делают эти устройства невидимыми для Интернета, я действительноне вижу, как это сделать.

Это заблуждение. Я работаю в университете, у которого есть / 16 IPv4-распределение, и огромное, огромное большинство нашего потребления IP-адресов приходится на это публичное размещение. Конечно, все наши рабочие станции и принтеры для конечных пользователей. Наше потребление RFC1918 ограничено сетевыми устройствами и определенными серверами, на которых требуются такие адреса. Я бы не удивился, если бы вы только что вздрогнули, потому что я, конечно, это сделал, когда я появился в первый же день и увидел пост на мониторе с моим IP-адресом.

И все же мы выживаем. Зачем? Поскольку у нас есть внешний брандмауэр, настроенный для отказа по умолчанию с ограниченной пропускной способностью ICMP. Просто потому, что 140.160.123.45 теоретически является маршрутизируемым, не означает, что вы можете добраться туда, где бы вы ни находились в общедоступном Интернете. Это то, что создавали брандмауэры.

Учитывая правильные конфигурации маршрутизаторов, и различные подсети в нашем распределении могут быть полностью недоступны друг для друга. Вы можете сделать это в таблицах маршрутизаторов или брандмауэрах. Это отдельная сеть и в прошлом удовлетворила наших аудиторов безопасности.

Нет никакого способа в аду Я положу нашу базу данных биллинга (с большим количеством информации о кредитной карте!) В Интернете, чтобы все могли видеть.

Наша база данных биллинга находится на общедоступном IPv4-адресе и существует на протяжении всего своего существования, но у нас есть доказательства, которые вы не можете получить здесь отсюда. Просто потому, что адрес находится в общедоступном списке маршрутов v4, это не означает, что он будет доставлен. Два брандмауэра между злом Интернета и фактическими портами базы данных отфильтровывают зло. Даже с моего стола, за первым брандмауэром, я не могу добраться до этой базы данных.

Информация о кредитной карте - это особый случай. Это зависит от стандартов PCI-DSS, и стандарты прямо указывают, что серверы, содержащие такие данные, должны находиться за шлюзом NAT1, Наши, и эти три сервера представляют собой общее использование сервером адресов RFC1918. Он не добавляет никакой безопасности, просто уровень сложности, но нам нужно установить этот флажок для проверки.


Оригинальный «IPv6 делает NAT ушедшим в прошлое» идея была выдвинута до того, как интернет-бум действительно поразил полный мейнстрим. В 1995 году NAT был обходным путем для того, чтобы обойти небольшое распределение IP-адресов. В 2005 году он был закреплен во многих документах по обеспечению безопасности и, по крайней мере, один из основных стандартов (конкретный PCI-DSS). Единственным конкретным преимуществом NAT является то, что внешний объект, выполняющий ретрансляцию в сети, не знает, как выглядит ландшафт IP за устройством NAT (хотя благодаря RFC1918 у них есть хорошее предположение) и на NAT-free IPv4 (такой как моя работа), это не так. Это небольшой шаг в углублении обороны, а не в большом.

Замена адресов RFC1918 - это так называемые уникальные локальные адреса. Подобно RFC1918, они не маршрутизируются, если только пэры не согласны разрешить им маршрут. В отличие от RFC1918, они (возможно) глобально уникальны. IPv6-переводчики, которые переводят ULA на глобальный IP-адрес, существуют в более высокой дальности по периметру, определенно не в устройстве SOHO.

Вы можете отлично выжить с открытым IP-адресом. Просто имейте в виду, что «общественность» не гарантирует «доступную», и с вами все будет в порядке.


2017 обновление

В последние несколько месяцев Amazon  добавляет поддержку IPv6. Он только что добавлен к их  предлагая, и их реализация дает некоторые подсказки относительно того, как ожидается масштабное развертывание.

  • Вам предоставляется выделение / 56 (256 подсетей).
  • Распределение - это полностью маршрутизируемая подсеть.
  • Ожидается, что вы установите свои правила брандмауэра () надлежащим образом ограничительным.
  • Нет NAT, его даже не предлагают, поэтому весь исходящий трафик будет поступать от фактического IP-адреса экземпляра.

Чтобы добавить одно из преимуществ безопасности NAT, они теперь предлагают Единственный интернет-шлюз, Это дает одно преимущество NAT:

  • Подсетей позади него нельзя напрямую получить доступ из Интернета.

Это обеспечивает уровень защиты в глубину, если неверно сконфигурированное правило брандмауэра случайно допускает входящий трафик.

Это предложение не переводит внутренний адрес в один адрес так, как это делает NAT. Исходящий трафик по-прежнему будет иметь исходный IP-адрес экземпляра, который открыл соединение. Операторы брандмауэра, которые ищут ресурсы «белого списка» в VPC, будут лучше избегать «белых блоков», а не конкретных IP-адресов.

маршрутизируемыми не всегда означает достижимый,


1: Стандарты PCI-DSS изменились в октябре 2010 года, заявление, указывающее адреса RFC1918, было удалено, а «сетевая изоляция» заменила его.


179
2017-09-25 00:59



Я отметил это как «Принято», потому что это более полный ответ. Я предполагаю, что, поскольку каждый макет конфигурации брандмауэра, который я когда-либо читал (начиная с 1997 года, когда я начал работать в этой области и включал в себя создание брандмауэров FreeBSD вручную), он подчеркнул использование RFC1918, что на самом деле это не имело смысла мне. Конечно, в качестве ISP у нас будут проблемы с конечными пользователями и их дешевыми маршрутизаторами, когда у нас заканчиваются адреса IPv4, и это не скоро исчезнет. - Ernie
«Переводчики адресов IPv6, которые переводят ULA в глобальный IP, существуют в более высокочастотном передатчике периметра, определенно не в устройстве SOHO». После того, как в течение многих лет сопротивлялись, linux добавила поддержку для этого в 3.9.0. - Peter Green
У меня вопрос о том, что шлюзы NAT часто используются, потому что они Полегче чтобы получить безопасную конфигурацию, чем большинство брандмауэров ». Для предприятий с профессиональным ИТ-персоналом или для хорошо осведомленных потребителей это не имеет большого значения, но для общего потребительского / наивного малого бизнеса не является чем-то не« легким »огромным риском для безопасности? десятилетия беспроволочных сетей связи «Linksys» существовали, потому что не настройка безопасности была «проще», чем настройка. С домом, полным устройств с поддержкой IoT на потребительском уровне, я не вижу, как моя мама правильно настраивает брандмауэр IPv6. Как вы думаете, это проблема? - Jason C
@JasonC Нет, потому что уже поставляемое снаряжение на уровне потребителя поставляется с брандмауэрами, предварительно сконфигурированными ISP, чтобы лишить всех входящих. Или у вас нет поддержки v6. Проблема состоит в том, что пользователи, которые думают, что знают, что делают, - на самом деле этого не делают. - sysadmin1138♦
@ sysadmin1138 К сожалению, есть много маршрутизаторов потребительского класса с IPv6 и без брандмауэра. У моего собственного маршрутизатора D-Link была эта проблема (я считаю, что это был DIR-615, с 2010 года. Я давно ушел в отставку, но многие люди все равно будут его использовать). Есть также много доступных маршрутизаторов потребительского класса, которые сломали брандмауэры. - Kevin Keane


Наш офисный маршрутизатор NAT (старый Linksys   BEFSR41) не поддерживает IPv6. ни   делает любой новый маршрутизатор

IPv6 поддерживается многими маршрутизаторами. Просто не так много дешевых, направленных на потребителей и SOHO. В худшем случае просто используйте ящик Linux или повторно запустите свой маршрутизатор с помощью dd-wrt или что-то, чтобы получить поддержку IPv6. Есть много вариантов, вам, вероятно, просто нужно смотреть сложнее.

Если мы должны просто избавиться от   этот маршрутизатор и подключить все   непосредственно в Интернет,

Ничто о переходе на IPv6 не предполагает, что вам следует избавиться от устройств безопасности периметра, таких как ваш маршрутизатор / брандмауэр. Маршрутизаторы и брандмауэры по-прежнему будут обязательным компонентом почти каждой сети.

Все NAT-маршрутизаторы эффективно действуют как брандмауэр с состоянием. Нет ничего удивительного в использовании адресов RFC1918, которые очень сильно защищают вас. Это сдержанный бит, который делает тяжелую работу. Правильно настроенный брандмауэр защитит вас, если вы используете реальные или частные адреса.

Единственная защита, которую вы получаете от адресов RFC1918, - это то, что позволяет людям избегать ошибок / лени в конфигурации вашего брандмауэра и все еще не быть таким уязвимым.

Существует несколько старых аппаратных устройств (то есть принтеров), которые вообще не имеют возможности IPv6.

Так? Вряд ли вам нужно будет сделать это через Интернет, а во внутренней сети вы можете продолжать запускать IPv4 и IPv6 до тех пор, пока все ваши устройства не будут поддерживаться или не заменяться.

Если запуск нескольких протоколов не является вариантом, вам, возможно, придется настроить какой-то шлюз / прокси.

IPSEC должны сделать все это безопасным как-то

IPSEC шифрует и аутентифицирует пакеты. Это не имеет никакого отношения к избавлению от вашего пограничного устройства и более защищает данные в пути.


56
2017-09-24 23:55



Прямо по-разному. - sysadmin1138♦
Точно, получите настоящий маршрутизатор, и вам не придется беспокоиться. SonicWall имеет отличные возможности для обеспечения безопасности, которая вам нужна, и будет поддерживать IPv6 без проблем. Этот вариант, вероятно, обеспечит лучшую безопасность и производительность, чем у вас в настоящее время. (news.sonicwall.com/index.php?s=43&item=1022) Как вы можете видеть в этой статье, вы также можете сделать ipv4 для перевода ipv6 с помощью устройств sonicwall для тех, кто не может обрабатывать ipv6. - MaQleod


Да. NAT мертв. Были некоторые попытки ратифицировать стандарты NAT для IPv6, но ни один из них не вышел из-под земли.

Это фактически вызвало проблемы для поставщиков, которые пытаются соответствовать стандартам PCI-DSS, поскольку стандарт фактически утверждает, что вы должны быть за NAT.

Для меня это одни из самых замечательных новостей, которые я когда-либо слышал. Я ненавижу NAT, и я больше ненавижу NAT-носитель.

NAT был только когда-либо предназначен для решения бандай, чтобы довести нас до того, как IPv6 стал стандартным, но он стал укоренен в интернет-обществе.

В течение переходного периода вы должны помнить, что IPv4 и IPv6, помимо аналогичного имени, совершенно разные 1, Таким образом, устройства с двойным стеком, ваш IPv4 будет NAT, а ваш IPv6 не будет. Это почти похоже на наличие двух совершенно разных устройств, которые просто упакованы в один кусок пластика.

Итак, как работает интернет-доступ IPv6? Ну, так как интернет был использован до NAT, был изобретен. Ваш провайдер назначит вам IP-диапазон (так же, как сейчас, но они обычно назначают вам / 32, что означает, что вы получаете только один IP-адрес), но ваш диапазон теперь будет иметь миллионы доступных IP-адресов. Вы можете заполнить эти IP-адреса по своему усмотрению (с автоматической настройкой или DHCPv6). Каждый из этих IP-адресов будет виден с любого другого компьютера в Интернете.

Звучит страшно, правда? Ваш контроллер домена, домашний медиа ПК и ваш iPhone с скрытым тайником порнографий все будет с, доступными в Интернете ?! Ну нет. Для этого нужен брандмауэр. Еще одна замечательная особенность IPv6 заключается в том, что она сил брандмауэры из подхода «Разрешить все» (как и большинство домашних устройств) в подход «Отклонить все», где вы открываете службы для определенных IP-адресов. 99.999% домашних пользователей с радостью сохранят свои брандмауэры по умолчанию и полностью заблокированы, а это означает, что не будет разрешен доступ к запрещенному трафику.

1Хорошо, есть еще кое-что для этого, но они никоим образом не совместимы друг с другом, хотя оба они позволяют тем же протоколам работать сверху


33
2018-03-23 23:42



Как насчет всех людей, которые утверждают, что наличие компьютеров за NAT обеспечивает дополнительную безопасность? Я слышу это от некоторых других ИТ-администраторов. Не имеет значения, скажете ли вы, что для вас нужен правильный брандмауэр, потому что многие из этих людей считают, что NAT добавляет уровень безопасности. - user9274
@ user9274 - он обеспечивает безопасность двумя способами: 1) он скрывает ваш внутренний IP-адрес от мира (именно поэтому его требует PCI-DSS), и 2) это дополнительный «прыжок» из Интернета на локальный компьютер. Но, честно говоря, во-первых, это просто «безопасность через безвестность», которая не является безопасностью, а второй - уязвимым устройством NAT, столь же опасным, как и взломанный сервер, поэтому, когда злоумышленники прошли через NAT, В любом случае, войдите в свою машину. - Mark Henderson♦
Кроме того, любая безопасность, полученная в результате использования NAT, была и является непреднамеренной выгодой для предотвращения истощения адресов IPv4. Это, безусловно, не было неотъемлемой частью цели дизайна, о которой я знаю. - joeqwerty
В конце октября 2010 года в стандарты PCI-DSS были внесены поправки, и требование NAT было удалено (раздел 1.3.8 от версии 1.2). Так что даже они догоняют время. - sysadmin1138♦
@Mark, не уверен, стоит ли упоминать, но NAT64 выходит из-под земли, но это не тот самый NAT, о котором многие думают. Это позволяет сетям IPv6 только получать доступ к Интернету IPv4 без сотрудничества с клиентом; он требует поддержки DNS64, чтобы он работал. - Chris S


Требование PCI-DSS для NAT хорошо известно как театр безопасности, а не фактическая безопасность.

Самый последний PCI-DSS отказался от вызова NAT абсолютным требованием. Многие организации прошли аудит PCI-DSS с IPv4 без NAT, отображая брандмауэры с сохранением состояния как «эквивалентные реализации безопасности».

Существуют другие документы в театре безопасности, в которых содержится призыв к NAT, но поскольку он разрушает контрольные журналы и затрудняет исследование / смягчение инцидентов, более глубокое исследование NAT (с или без PAT) является чистым негативным уровнем безопасности.

Хороший брандмауэр с естественным состоянием без NAT - это превосходное решение NAT в мире IPv6. В IPv4 NAT - это необходимое зло, которое нужно терпеть ради сохранения адреса.


18
2018-01-26 17:45



NAT - это «ленивая безопасность». И при «ленивой безопасности» возникает недостаток внимания к деталям и последующая потеря безопасности, которая была предназначена. - Skaperen
Полностью согласен; хотя большинство проверок PCI-DSS выполняются (аудит обезьяны с контрольным списком), это все ленивой безопасности, и несет эти недостатки. - MadHatter
Для тех, кто утверждает, что NAT является «театром безопасности», я хотел бы указать на статью Networking Nerd о уязвимости Memcached несколько месяцев назад. networkingnerd.net/2018/03/02/... Он является заядлым сторонником IPv6 и ненавистником NAT, но должен был указать, что тысячи компаний оставили свои серверы memcached широко открытыми в Интернете из-за правил брандмауэра, которые «не были тщательно обработаны». NAT заставляет вас говорить о том, что вы разрешаете в своей сети. - Kevin Keane


Это будет (к сожалению) некоторое время, прежде чем вы сможете уйти с единственной сетью только для IPv6. До этого момента двойной стек с предпочтением IPv6, когда он доступен, - это способ запуска.

Хотя большинство потребительских маршрутизаторов сегодня не поддерживают IPv6 с прошивкой запасных частей, многие могут поддерживать его с помощью сторонних прошивок (например, Linksys WRT54G с dd-wrt и т. Д.). Кроме того, многие устройства бизнес-класса (Cisco, Juniper) поддерживают IPv6 из коробки.

Важно не путать PAT (многоадресный NAT, как это принято на потребительских маршрутизаторах) с другими формами NAT, и с NAT-free firewalling; как только интернет станет IPv6-only, брандмауэры по-прежнему будут препятствовать открытию внутренних служб. Аналогично, система IPv4 с индивидуальным NAT не защищена автоматически; это работа с политикой брандмауэра.


11
2017-09-24 23:52





Если NAT сохранится в мире IPv6, он, скорее всего, будет 1: 1 NAT. Форма NAT никогда не видела в пространстве IPv4. Что такое NAT 1: 1? Это 1: 1 перевод глобального адреса на локальный адрес. Эквивалент IPv4 будет преобразовывать все подключения к 1.1.1.2 только в 10.1.1.2 и т. Д. Для всего пространства 1.0.0.0/8. Версия IPv6 должна была бы перевести глобальный адрес на уникальный локальный адрес.

Повышенная безопасность может быть обеспечена путем частого поворота отображения адресов, которые вам не нужны (например, пользователи внутренних офисов, просматривающих Facebook). Внутренне ваши номера ULA останутся неизменными, поэтому ваш DNS с расколом горизонтом будет работать нормально, но внешние клиенты никогда не будут на предсказуемом порту.

Но на самом деле это небольшое количество улучшенной безопасности для создаваемых проблем. Сканирование подсетей IPv6 является действительно большой задачей и не может быть неосуществимо без какого-либо подтверждения того, как IP-адреса назначаются в этих подсетях (метод генерации MAC-адресов? Случайный метод? Статическое назначение читаемых человеком адресов?).

В большинстве случаев произойдет то, что клиенты, стоящие за корпоративным брандмауэром, получат глобальный адрес, возможно, ULA, а брандмауэр периметра будет настроен на запрет всех входящих соединений любого типа на эти адреса. Во всех смыслах и целях эти адреса недостижимы извне. Как только внутренний клиент инициирует соединение, через это соединение будут разрешены пакеты. Необходимость изменить IP-адрес на что-то совершенно другое, обрабатывается, заставляя злоумышленника листать 2 ^ 64 возможных адреса в этой подсети.


9
2018-03-24 02:33



@ sysadmin1138: Мне нравится это решение. Поскольку я в настоящее время понимаю IPv6, если мой ISP дает мне / 64, я должен использовать этот / 64 для всей моей сети, если я хочу, чтобы мои компьютеры были доступными через Интернет. Но если мне надоедает этот интернет-провайдер и переходить на другой, теперь я должен полностью перенумеровать все. - Kumba
@ sysadmin1138: Тем не менее, я заметил, что я могу назначить несколько IP-адресов для одного интерфейса намного проще, чем с IPv4, поэтому я могу просмотреть использование ISP-данных / 64 для внешнего доступа и собственную собственную внутреннюю схему ULA для соединяется между хостами и использует брандмауэр, чтобы сделать ULA-адреса недоступными извне. Больше работы по настройке, но похоже, что он полностью избежит NAT. - Kumba
@ sysadmin1138: Я ВСЕГДА поцарапал голову, почему ULA, по сути, являются частными, однако они, как ожидается, по-прежнему будут глобально уникальными. Это похоже на то, что у меня может быть автомобиль любой модели и модели, доступный в настоящее время, но не какой-либо make / model / year, который уже используется кем-то другим, даже если это мой автомобиль, и я буду единственным драйвером, который у него когда-либо будет. - Kumba
@Kumba Причина, по которой адреса RFC 4193 должны быть глобально уникальными, - это гарантировать, что вам не придется менять нумерацию в будущем. Возможно, однажды вам понадобится объединить две сети, используя адреса RFC 4193, или один компьютер, который уже может иметь адрес RFC 4193, может потребоваться подключиться к одной или нескольким VPN, которые также имеют адреса RFC 4193. - kasperd
@Kumba Если бы все использовали fd00 :: / 64 для первого сегмента в своей сети, тогда вы наверняка столкнулись бы с конфликтом, как только любая пара из двух таких сетей должна была общаться. Пункт RFC 4193 заключается в том, что, пока вы произвольно выбираете свои 40 бит, вы можете назначить оставшиеся 80 бит, но, пожалуйста, и оставайтесь уверенными, что вам не придется перенумеровать. - kasperd


RFC 4864 описывает защиту локальной сети IPv6, набор подходов для предоставления воспринимаемых преимуществ NAT в среде IPv6 без фактического использования NAT.

В этом документе описывается ряд методов, которые могут быть объединены на сайте IPv6 для защиты целостности его сетевой архитектуры. Эти методы, известные в совокупности как Local Network Protection, сохраняют концепцию четко определенной границы между «внутренней» и «внешней» частной сетью и позволяют использовать брандмауэр, скрытие топологии и конфиденциальность. Однако, поскольку они сохраняют прозрачность адресов там, где это необходимо, они достигают этих целей без недостатка в адресном переводе. Таким образом, защита локальной сети в IPv6 может обеспечить преимущества преобразования сетевых адресов IPv4 без соответствующих недостатков.

Сначала он излагает, какие воспринимаемые преимущества NAT (и разрывает их, когда это необходимо), а затем описывает особенности IPv6, которые могут быть использованы для предоставления тех же преимуществ. Он также содержит примечания к внедрению и тематические исследования.

Хотя это слишком долго, чтобы перепечатать здесь, обсуждаемые преимущества:

  • Простой шлюз между «внутри» и «снаружи»
  • Брандмауэр с состоянием
  • Отслеживание пользователей / приложений
  • Конфиденциальность и топология скрываются
  • Независимый контроль адресации в частной сети
  • Многодомность / перенумерация

Это в значительной степени охватывает все сценарии, в которых может потребоваться NAT, и предлагает решения для их реализации в IPv6 без NAT.

Некоторые из технологий, которые вы будете использовать:

  • Уникальные локальные адреса. Предпочитайте их во внутренней сети, чтобы внутренние внутренние коммуникации были внутренними и чтобы внутренние сообщения могли продолжаться, даже если у ISP произошел сбой.
  • Расширения конфиденциальности IPv6 с короткими сроками действия адресов и не явно структурированными идентификаторами интерфейса: они помогают предотвратить атаку отдельных хостов и сканирование подсети.
  • IGP, Mobile IPv6 или VLAN можно использовать для скрытия топологии внутренней сети.
  • Наряду с ULA, DHCP-PD от ISP упрощает перенумерацию / многопоточность, чем с IPv4.

(См. RFC для получения полной информации; опять же, слишком много времени для переиздания или даже принятия значительных отрывков.)

Для более общего обсуждения безопасности перехода IPv6 см. RFC 4942,


9
2018-05-13 18:37





Существует огромная путаница в этом вопросе, так как сетевые администраторы видят NAT в одном свете, а мелкие и жилые клиенты видят его в другом. Позвольте пояснить.

Статический NAT (иногда называемый индивидуальным NAT) предлагает абсолютно никакой защиты для вашей частной сети или отдельного ПК. Изменение IP-адреса не имеет смысла в отношении защиты.

Динамический перегруженный NAT / PAT, как то, что большинство шлюзов для жилых помещений и Wi-Fi AP абсолютно помогает защитить вашу частную сеть и / или ваш компьютер. По дизайну таблица NAT в этих устройствах представляет собой таблицу состояний. Он отслеживает исходящие запросы и отображает их в таблице NAT - время соединения заканчивается через определенное время. Любые незатребованные входящие кадры, которые не соответствуют тому, что находится в таблице NAT, по умолчанию отбрасываются - маршрутизатор NAT не знает, куда отправить их в частной сети, чтобы он их удалял. Таким образом, единственным устройством, в которое вы попадаете уязвимым для взлома, является ваш маршрутизатор. Поскольку большинство эксплойтов безопасности основаны на Windows - наличие такого устройства между интернетом и вашим ПК с Windows действительно помогает защитить вашу сеть. Это не может быть изначально предназначенная функция, которая должна была сэкономить на публичных IP-адресах, но она выполняет свою работу. В качестве бонуса большинство этих устройств также имеют функции брандмауэра, которые по умолчанию блокируют запросы ICMP, что также помогает защитить сеть.

Учитывая приведенную выше информацию, утилизация NAT при переходе на IPv6 может привести к потенциальному взлому миллионов устройств для потребителей и малого бизнеса. Это практически не повлияет на корпоративные сети, поскольку они профессионально управляют брандмауэрами на своем краю. Потребительские и малые бизнес-сети, возможно, больше не имеют NAT-маршрутизатор на основе nix между Интернетом и их ПК. Нет причин, по которым человек не может переключиться на решение только для брандмауэра - гораздо безопаснее, если оно будет развернуто правильно, но также выходит за рамки того, что 99% потребителей понимают, как это сделать. Динамический перегруженный NAT дает возможность защиты только благодаря его использованию - подключите ваш жилой маршрутизатор, и вы защищены. Легко.

Тем не менее, нет причин, по которым NAT не может использоваться точно так же, как он используется в IPv4. Фактически, маршрутизатор может быть спроектирован так, чтобы иметь один IPv6-адрес на WAN-порту с частной сетью IPv4, за которой он находится (например, NAT). Это было бы простым решением для потребителей и жилых людей. Другой вариант - разместить все устройства с общедоступными IPv6 IP-адресами - промежуточное устройство затем может действовать как устройство L2, но предоставить таблицу состояний, пакетную проверку и полностью функционирующий брандмауэр. По сути, нет NAT, но все же блокирует любые незатребованные входящие кадры. Важно помнить, что вы не должны подключать ПК непосредственно к вашему WAN-соединению без промежуточного устройства. Если, конечно, вы не хотите полагаться на брандмауэр Windows. , , и это другое обсуждение. В каждой сети, даже в домашних сетях, требуется пограничное устройство, защищающее локальную сеть, в дополнение к использованию брандмауэра Windows.

Будут какие-то растущие боли, движущиеся к IPv6, но нет никаких проблем, которые вряд ли удастся разрешить довольно легко. Будете ли вы бросать старый маршрутизатор IPv4 или шлюз? Может быть, но придет время недорогих новых решений. Надеюсь, многим устройствам понадобится только прошивка. Может ли IPv6 быть сконструирован таким образом, чтобы он более плавно вписывался в текущую архитектуру? Конечно, но это то, что есть, и это не уходит. Так что вы могли бы также изучить его, жить, любить.


8
2018-06-09 14:38



Для чего я хотел бы повторить, что существующая архитектура принципиально нарушена (сквозная маршрутизация), и это создает практические проблемы в сложных сетях (избыточные устройства NAT слишком сложны и дороги). Удаление хакера NAT уменьшит сложность и потенциальные возможности сбоя, в то время как безопасность поддерживается простыми брандмауэрами с сохранением состояния (я не могу себе представить, чтобы второй маршрутизатор SOHO шел без брандмауэра, включенного по умолчанию, по умолчанию, поэтому клиенты могут подключаться к n-play без мысль). - Chris S
Иногда прерываемая сквозная маршрутизация - это именно то, что вы хотите. Я не хочу, чтобы мои принтеры и ПК могли быть перенаправлены из Интернета. В то время как NAT запускался как хак, он превратился в очень полезный инструмент, который в некоторых случаях может улучшить безопасность, удалив потенциальную возможность для маршрутизации пакетов непосредственно на узел. Если у меня есть IP-адрес RFC1918, назначенный статически на ПК, ни при каких обстоятельствах этот IP-адрес не будет маршрутизирован в Интернете. - Computerguy
Сломанная маршрутизация Плохая вещь, Вы хотите, чтобы ваши устройства были недоступны в Интернете (через брандмауэр), это не одно и то же. Видеть Почему вы используете IPv6 внутри?, Кроме того, RFC1918 заявляет, что этот адрес должен использоваться только для частных сетей, а доступ к Интернету должен предоставляться только шлюзами уровня приложения (NAT - нет). Для внешних подключений хосту должен быть назначен адрес из скоординированного распределения IANA. Хаки, независимо от того, насколько полезны, делают ненужные компромиссы и не являются «правильными». - Chris S


Вид. На самом деле существуют разные «типы» адресов IPv6. Самый близкий к RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) называется «Уникальный локальный адрес» и определен в RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Итак, вы начинаете с fd00 :: / 8, затем добавляете 40-битную строку (используя предварительно определенный алгоритм в RFC!), И вы получаете пресноводный псевдослучайный / 48 префикс, который должен быть глобально уникальным. У вас есть остальная часть адресного пространства, чтобы назначить, как вы хотите.

Вы также должны блокировать fd00 :: / 7 (fc00 :: / 8 и fd00 :: / 8) на вашем (IPv6) маршрутизаторе вне вашей организации, а значит, и «local» в имени адреса. Эти адреса, в то время как в глобальном адресном пространстве, не должны быть доступны для всего мира, просто с вашей «организацией».

Если вашим серверам PCI-DSS необходим IPv6 для подключения к другим внутренним хостам IPv6, вы должны создать префикс ULA для своей компании и использовать его для этой цели. Вы можете использовать auto-config IPv6, как и любой другой префикс, если хотите.

Учитывая, что IPv6 был разработан таким образом, что хосты могут иметь несколько адресов, на машине может быть помимо ULA - глобально маршрутизируемый адрес. Таким образом, веб-сервер, который должен разговаривать как с внешним миром, так и с внутренними машинами, может иметь как префикс-адрес, назначенный ISP, так и префикс ULA.

Если вы хотите использовать NAT-подобные функции, вы также можете посмотреть NAT66, но в целом я бы архитектор вокруг ULA. Если у вас есть дополнительные вопросы, вы можете проверить список рассылки «ipv6-ops».


7
2018-03-24 00:05



Хах. Я пишу все эти комментарии в sysadmin1138 и даже не думаю, чтобы посмотреть на ваш ответ об использовании двух адресов для глобальных и местных комм. Однако я категорически не согласен с предписаниями ULA, которые должны быть глобально уникальными. Мне не нравятся рандомизированные, 40-битные номера вообще, особенно для моей внутренней локальной сети, из которых я я единственный пользователь. Им, вероятно, нужна всемирная база данных ULA для регистрации (SixXS запускает такие), но бросает беспорядок случайных чисел и позволяет людям быть творческими. Как персональные номерные знаки. Вы подаете заявку на нее, и если она будет принята, вы попробуете другую. - Kumba
@ Kumba они пытаются остановить каждую сеть с использованием тех же адресов - случайный означает, что вам не нужна публичная база данных, и каждая сеть независима; если вы хотите централизованно выпускать IP-адреса, просто используйте глобальные! - Richard Gadsden
@ Рихард: Это ... Как я выразился, глупая концепция, ИМХО. Почему это должно иметь значение, если небольшая компания Joe в городе в Монтане использует ту же IPv6-адресацию, что и другая небольшая компания в Перте, Австралия? Шансы двух когда-либо пересекающихся, а не невозможных, довольно маловероятны. Если намерение дизайнеров IPv6 заключалось в том, чтобы полностью и полностью отказаться от концепции «частных сетей», тогда им нужно проверить кофе, потому что это нереально. - Kumba
@ Kumba Я думаю, что это шрамы, когда вы пытаетесь объединить две большие частные сети IPv4 в 10/8, и вам нужно перенумеровать одну (или даже обе) из них, которую они пытаются избежать. - Richard Gadsden
@Richard: Точно, нет ничего более болезненного, чем использование VPN для подключения к другой сети с одной и той же частной подсетью, некоторая реализация просто перестанет работать. - Hubert Kario


Надеюсь, NAT уйдет навсегда. Это полезно только тогда, когда у вас есть дефицит IP-адреса, и у него нет функций безопасности, которые не предоставляются лучше, дешевле и легче управляются брандмауэром с состоянием.

Поскольку IPv6 = нет недостатка, это означает, что мы можем избавить мир от уродливого взлома, который является NAT.


4
2018-03-23 23:44





ИМХО: нет.

Есть еще места, где SNAT / DNAT может быть полезным. Для примера некоторые серверы были перемещены в другую сеть, но мы не хотим / мы не можем изменять IP-адрес приложения.


4
2018-03-24 01:23



Вы должны использовать DNS-имена вместо IP-адреса в ваших конфигурациях приложений. - rmalayter
DNS не решает вашу проблему, если вам нужно создать сетевой путь, не изменяя всю топологию маршрутизации и правила брандмауэра. - sumar