Перехід на IPv6 означає скидання NAT. Це гарна річ?


109

Це канонічне запитання про IPv6 та NAT

Пов'язані:

Тож наш Інтернет-провайдер нещодавно створив IPv6, і я вивчав, що повинен мати на собі перехід, перш ніж стрибнути в бій.

Я помітив три дуже важливі проблеми:

  1. Наш офісний маршрутизатор NAT (старий Linksys BEFSR41) не підтримує IPv6. Також немає жодного більш нового маршрутизатора, AFAICT. Книга, яку я читаю про IPv6, говорить про те, що в будь-якому випадку це робить NAT "непотрібним".

  2. Якщо ми повинні просто позбутися цього маршрутизатора і підключити все безпосередньо до Інтернету, я починаю панікувати. У пеклі немає ніякого способу, щоб я розмістив нашу базу даних рахунків (з великою кількістю інформації про кредитні картки!) В Інтернеті, щоб кожен бачив. Навіть якби я запропонував налаштувати на ньому брандмауер Windows, щоб взагалі було доступно лише 6 адрес до нього, я все одно прориваюся в холодний піт. Я не довіряю Windows, брандмауеру Windows або мережі достатньо великої, щоб навіть було зручно з цим.

  3. Є кілька старих апаратних пристроїв (тобто принтерів), які взагалі не мають можливості IPv6. І, ймовірно, перелік проблем із безпекою, які відносяться до 1998 року. І, швидше за все, жодним чином їх не зафіксувати. І немає фінансування нових принтерів.

Я чую, що IPv6 та IPSEC повинні якось зробити це безпечним, але без фізично розділених мереж, які роблять ці пристрої невидимими для Інтернету, я справді не можу зрозуміти, як це зробити. Я також можу реально побачити, як будь-яка створена я захисна сила буде перекрита в короткому порядку. Я вже багато років працюю над серверами в Інтернеті, і я досить добре знайомий з речами, необхідними для їх захисту, але про розміщення чогось приватного в мережі, як-от наша платіжна база даних, завжди не виникало сумнівів.

На що я повинен замінити NAT, якщо у нас фізично немає окремих мереж?


9
Чи можете ви спробувати перепросити це? Зараз це здається досить аргументованим.
Зоредаче

9
Те, що вас шокує , не існує. Можливо, вам слід переформатувати своє запитання таким чином, щоб описувати речі, які ви вважаєте фактами, і попросити нас їх підтвердити. Замість того, щоб скаржитися на речі, які ви припускали, буде працювати певним чином.
Зоредаче

25
Також - ви зберігаєте інформацію про кредитні картки? І у вас є стільки питань щодо безпеки? Ви коли-небудь проходили аудит PCI? Або ви порушуєте свій контракт, зберігаючи дані кредитної картки? Ви можете поглянути на це, поспішаючи.
mfinni

4
Я не можу добросовісно відмовитись від голосування чи закрити це питання на тій підставі, що афіша не поінформована (напевно, це половина пункту сайту). Зрозуміло, що ОП виходить на велику дотичну, грунтуючись на хибному припущенні, і питання може стосуватися переписування.
Кріс Торп

3
"Більше NAT", безумовно, є однією з цілей IPv6. Хоча на даний момент здається (принаймні тут), що інтерес до насправді пропонувати IPv6 не є надзвичайно великим, за винятком центрів обробки даних (адже більші пакети означають більше пропускну спроможність, а більша пропускна здатність означає для них більше грошей!). Для DSL все навпаки, майже всі мають повний характер, тому IPv6 означає лише більше клопоту та більше витрат для провайдерів.
dm.skt

Відповіді:


185

Перш за все, нічого страшного в тому, щоб перейти на загальнодоступні IP-адреси, якщо ваші пристрої безпеки налаштовані правильно.

На що я повинен замінити NAT, якщо у нас фізично немає окремих мереж?

Те саме, з чим ми фізично їх розділяли з 1980-х, маршрутизатори та брандмауери. Одне велике посилення безпеки, яке ви отримуєте з NAT, - це те, що воно змушує вас конфігурацію заперечення за замовчуванням. Для того, щоб отримати будь-яку послугу через неї, ви повинні чітко пробивати отвори. Фанатніші пристрої навіть дозволяють застосовувати ACL на основі IP-адрес до цих отворів, як і брандмауер. Можливо, насправді у них "Брандмауер".

Правильно налаштований брандмауер забезпечує точно таку саму послугу, що і NAT-шлюз. NAT-шлюзи часто використовуються, оскільки їх легше ввійти в безпечну конфігурацію, ніж більшість брандмауерів.

Я чую, що IPv6 та IPSEC повинні якось зробити це безпечним, але без фізично розділених мереж, які роблять ці пристрої невидимими для Інтернету, я справді не можу зрозуміти, як це зробити.

Це неправильне уявлення. Я працюю в університеті, який має розподіл IPv4 / 16, і переважна більшість наших споживачів IP-адрес припадає на це публічне виділення. Безумовно, всі наші робочі станції та принтери для кінцевих користувачів. Наше споживання RFC1918 обмежено мережевими пристроями та певними конкретними серверами, де такі адреси потрібні. Я не був би здивований, якби ви просто тремтіли просто зараз, тому що, звичайно, я це зробив, коли я з’явився в перший день і побачив пост на моніторі з моєю IP-адресою.

І все ж ми виживаємо. Чому? Оскільки у нас є зовнішній брандмауер, налаштований для заборони за замовчуванням з обмеженою пропускною здатністю ICMP. Тільки тому, що 140.160.123.45 є теоретично маршрутом, це не означає, що ви можете потрапити туди, де б ви не знаходилися в загальнодоступному Інтернеті. Це те, що були покликані робити брандмауери.

Враховуючи правильні конфігурації маршрутизатора, і різні підмережі в нашому виділенні можуть бути абсолютно недоступними одна від одної. Це можна зробити в таблицях маршрутизаторів або брандмауерах. Це окрема мережа, яка задовольняла наших аудиторів безпеки раніше.

У пеклі немає ніякого способу, щоб я розмістив нашу базу даних рахунків (з великою кількістю інформації про кредитні картки!) В Інтернеті, щоб кожен бачив.

Наша платіжна база даних знаходиться на загальнодоступній IPv4-адресі і існувала протягом усього її існування, але ми маємо доказ, що ви не можете потрапити звідси. Тільки тому, що адреса знаходиться у загальнодоступному списку маршрутизованих версій v4, це не означає, що її гарантовано доставлять. Два брандмауери між злом Інтернету та власними портами бази даних відфільтровують зло. Навіть зі свого столу, за першим брандмауером, я не можу потрапити до цієї бази даних.

Інформація про кредитні картки - це один особливий випадок. Це підпорядковане стандартам PCI-DSS, і в стандартах прямо зазначено, що сервери, що містять такі дані, повинні знаходитися за NAT-шлюзом 1 . Наші є, і ці три сервери представляють наше загальне використання сервера RFC1918 адрес. Це не додає ніякої безпеки, а лише рівень складності, але нам потрібно перевірити цей прапорець для перевірок.


Оригінальна ідея "IPv6 робить NAT справою минулого" була висунута ще до того, як інтернет-бум дійсно вдарив у повний мейнстрім. У 1995 році NAT був вирішенням для вирішення невеликого розподілу IP. У 2005 році він був зафіксований у багатьох документах із найкращих практик безпеки та принаймні в одному з основних стандартів (PCI-DSS для конкретності). Єдина конкретна перевага, яку NAT дає, - це те, що зовнішня особа, яка виконує відновлення в мережі, не знає, як виглядає IP-ландшафт позаду пристрою NAT (хоча завдяки RFC1918 вони гарно здогадуються) та на NAT-free IPv4 (такий як моя робота) це не так. Це невеликий крок до глибокої оборони, не великий.

Заміна адрес RFC1918 називається Унікальними локальними адресами. Як і RFC1918, вони не здійснюють маршрут, якщо однолітки спеціально не погоджуються надати їм маршрут. На відміну від RFC1918, вони (мабуть) глобально унікальні. Перекладачі адрес IPv6, які переводять ULA на глобальний IP, існують у шестірні периметру передач, напевно ще не в передачі SOHO.

З загальнодоступною IP-адресою ви можете просто вижити. Просто пам’ятайте, що «публіка» не гарантує «доступність», і ви будете добре.


Оновлення 2017 року

В останні кілька місяців Amazon додає підтримку IPv6. Він щойно був доданий до їхньої пропозиції , і їх реалізація дає певні підказки щодо того, як очікується зробити масштабне розгортання.

  • Вам надається розподіл / 56 (256 підмереж).
  • Виділення - це повністю маршрутизована підмережа.
  • Очікується, що ви встановите свої правила брандмауера ( ) відповідно обмежуючими.
  • NAT немає, він навіть не пропонується, тому весь вихідний трафік буде надходити з фактичної IP-адреси екземпляра.

Щоб додати ще одне з переваг безпеки NAT, вони тепер пропонують Інтернет-шлюз, не доступний лише для виходу . Це пропонує одну перевагу, схожу на NAT:

  • До підмереж, що знаходяться за нею, не можна отримати прямий доступ з Інтернету.

Що забезпечує шар глибокої оборони, якщо неправильно налаштоване правило брандмауера випадково дозволяє в'їзний трафік.

Ця пропозиція не переводить внутрішню адресу в одну адресу, як це робить NAT. Вихідний трафік все ще матиме вихідний IP-адресу примірника, який відкрив з'єднання. Операторам брандмауера, які шукають білі списки ресурсів у VPC, буде краще білі мережі, а не конкретні IP-адреси.

Маршрут не завжди означає доступність .


1 : У жовтні 2010 р. Змінилися стандарти PCI-DSS, виписку, що вимагає RFC1918-адреси, було видалено, а "мережева ізоляція" замінила його.


1
Я позначив це як прийняте, тому що це більш повна відповідь. Я здогадуюсь, що оскільки кожен з файлів конфігурації брандмауера, який я коли-небудь читав (приблизно з 1997 року, коли я почав працювати в цій галузі, і що включає в себе створення брандмауерів FreeBSD вручну), наголосив на застосуванні RFC1918, що це насправді не має сенсу для мене. Звичайно, як Інтернет-провайдер у нас виникнуть проблеми з кінцевими користувачами та їх дешевими маршрутизаторами, коли у нас закінчиться IPv4-адреса, і це вже не скоро піде.
Ерні

"Перекладачі адрес IPv6, які переводять ULA на глобальний IP, існують у периферійних передачах більш високого діапазону, але точно ще не в передачі SOHO." Після багатьох років спротиву linux додав підтримку до цього в 3.9.0.
Пітер Грін

2
У мене є питання про "NAT-шлюзи, які часто використовуються, тому що їх легше ввійти в безпечну конфігурацію, ніж більшість брандмауерів". Для підприємств з професійним ІТ-персоналом або для обізнаних споживачів це не велика справа, але для загального споживача / наївного малого бізнесу чи щось не є "простим" величезним ризиком для безпеки? Наприклад, десятиліттями безоплатних WiFi-мереж без паролів існували, оскільки не налаштувати безпеку було "простіше", ніж її налаштувати. З будинком, повним приладів, що підтримують IoT на рівні споживачів, я не можу бачити, як моя мама правильно налаштовувала брандмауер IPv6. Ви вважаєте це проблемою?
Джейсон C

6
@JasonC Ні, оскільки спорядження на рівні споживача, що вже постачається, здійснює доставку з попередньо налаштованим ISP брандмауером, щоб відмовити вхідним пристроєм. Або не має підтримки v6. Завдання полягає в потужних користувачах, які думають, що знають, що роблять, але насправді цього не роблять.
sysadmin1138

1
Відмінна відповідь загалом, але я схвально відгукнувся, бо ледве звернувся до великого слона в кімнаті: правильно налаштувати пристрій безпеки - це те, що ви не можете просто сприйняти як належне.
Кевін Кін

57

Наш офісний маршрутизатор NAT (старий Linksys BEFSR41) не підтримує IPv6. Немає жодного нового маршрутизатора

IPv6 підтримується багатьма маршрутизаторами. Тільки не так багато дешевих, орієнтованих на споживачів та SOHO. Найгірший випадок, просто використовуйте вікно Linux або перезавантажте роутер за допомогою dd-wrt або чогось іншого, щоб отримати підтримку IPv6. Варіантів багато, напевно, просто потрібно виглядати важче.

Якщо ми повинні просто позбутися цього маршрутизатора і підключити все безпосередньо до Інтернету,

Ніщо про перехід на IPv6 не передбачає, що ви повинні позбутися пристроїв безпеки периметра, як ваш маршрутизатор / брандмауер. Маршрутизатори та брандмауери все ще залишатимуться необхідною складовою майже кожної мережі.

Всі маршрутизатори NAT ефективно виконують функцію надзвичайного брандмауера. Немає нічого магічного у використанні RFC1918 адрес, які так сильно захищають вас. Саме державний біт робить важку роботу. Правильно налаштований брандмауер захистить вас так само добре, якщо ви використовуєте реальну або приватну адреси.

Єдиний захист, який ви отримуєте від адрес RFC1918, це те, що дозволяє людям уникнути помилок / лінь у вашому конфігурації брандмауера і все ще не бути вразливим.

Є кілька старих апаратних пристроїв (тобто принтерів), які взагалі не мають можливості IPv6.

Тому? Навряд чи вам потрібно буде зробити це доступним через Інтернет, а у внутрішній мережі ви зможете продовжувати запускати IPv4 та IPv6, поки всі ваші пристрої не підтримуються чи не замінюються.

Якщо запуск декількох протоколів не є можливим, можливо, вам доведеться встановити якийсь шлюз / проксі.

IPSEC повинен якось зробити це безпечним

IPSEC зашифровано та автентифікує пакети. Це не має нічого спільного з позбавленням від вашого прикордонного пристрою, і більш захищає дані в дорозі.


2
Право так багато способів.
sysadmin1138

3
Точно, отримайте справжній роутер, і вам не доведеться турбуватися. У SonicWall є кілька чудових варіантів, щоб забезпечити потрібну вам безпеку, і без проблем буде підтримувати IPv6. Цей варіант, ймовірно, забезпечить кращу безпеку та продуктивність, ніж у вас зараз. ( news.sonicwall.com/index.php?s=43&item=1022 ) Як ви бачите в цій статті, ви також можете зробити переклад ipv4 на ipv6 за допомогою пристроїв sonicwall для тих, хто не може працювати з ipv6.
MaQleod

34

Так. NAT мертва. Були кілька спроб ратифікувати стандарти для NAT через IPv6, але жодна з них ніколи не збилася з місця.

Це фактично спричинило проблеми для провайдерів, які намагаються відповідати стандартам PCI-DSS, оскільки стандарт фактично говорить про те, що ви повинні стояти за NAT.

Для мене це одні з найчудовіших новин, які я коли-небудь чув. Я ненавиджу NAT, і ще більше ненавиджу NAT-клас.

NAT лише коли-небудь мав бути бандаїдним рішенням, щоб пройти нас до тих пір, поки IPv6 не стане стандартним, але він увійшов в інтернет-суспільство.

Для перехідного періоду, ви повинні пам'ятати , що IPv4 і IPv6 є, крім аналогічного назви, абсолютно різні 1 . Таким чином, пристрої, які є Dual-Stack, ваш IPv4 буде NATET, а ваш IPv6 не буде. Це майже як мати два повністю відокремлених пристрої, просто упаковані в один шматок пластику.

Отже, як працює доступ до Інтернету IPv6? Ну, спосіб, яким працював Інтернет, перш ніж був винайдений NAT. Ваш Інтернет-провайдер призначить вам діапазон IP (такий самий, як зараз, але вони зазвичай призначають вам / 32, що означає, що ви отримаєте лише одну IP-адресу), але ваш діапазон тепер матиме мільйони доступних IP-адрес у ньому. Ви можете заповнити ці IP-адреси за вибором (з автоматичною конфігурацією або DHCPv6). Кожна з цих IP-адрес буде видима з будь-якого іншого комп’ютера в Інтернеті.

Звучить страшно, правда? Ваш контролер домену, домашній медіа-ПК та ваш iPhone із прихованою копією порнографії - все це стане доступним з Інтернету ?! Ну, ні. Ось для чого призначений брандмауер. Ще однією чудовою особливістю IPv6 є те, що він змушує брандмауери від підходу "Дозволити всім" (як і більшість домашніх пристроїв) підходу "Заборонити всім", де ви відкриваєте служби для конкретних IP-адрес. 99,999% домашніх користувачів із задоволенням зберігатимуть брандмауері за замовчуванням та повністю заблоковані, а це означає, що забороняється передавати незатребуваний трафік.

1 Гаразд, це набагато більше, ніж це, але вони жодним чином не сумісні один з одним, хоча вони обидва дозволяють однакові протоколи, що працюють на вершині


1
Що з усіма людьми, які стверджують, що наявність комп'ютерів за NAT забезпечує додаткову безпеку? Я багато чого чую від інших адміністраторів ІТ. Не має значення, якщо ви скажете, що правильний брандмауер - це все, що вам потрібно, адже так багато з цих людей вважають, що NAT додає шар безпеки.
user9274

3
@ user9274 - він забезпечує безпеку двома способами: 1) він приховує вашу внутрішню IP-адресу від світу (через що PCI-DSS цього вимагають), і 2) це додатковий «скачок» від Інтернету до локальної машини. Але якщо чесно сказати, перше - це лише "безпека через невідомість", яка зовсім не є безпекою, а щодо другого - компрометований пристрій NAT так само небезпечний, як і компрометований сервер, тож колись зловмисники пройдуть мимо NAT, що може ймовірно все одно потрапляйте у вашу машину.
Марк Хендерсон

Крім того, будь-яка безпека, отримана завдяки використанню NAT, була і є ненавмисною вигодою у намаганнях запобігти виснаженню IPv4-адрес. Це, звичайно, не було частиною мети дизайну, про яку я знаю.
joeqwerty

7
В кінці жовтня 2010 р. Стандарти PCI-DSS були внесені поправки, і вимога NAT була скасована (розділ 1.3.8 v1.2). Тож навіть вони наздоганяють час.
sysadmin1138

2
@ Марк, не впевнений, чи варто це згадати, але NAT64 піднімається з місця, але це не NAT, про який думають більшість людей. Він дозволяє мережам IPv6 отримати доступ до Інтернету IPv4 без "співпраці з клієнтом"; для його роботи потрібна підтримка DNS64.
Кріс S

18

Вимога PCI-DSS щодо NAT добре відома як театр безпеки, а не фактична безпека.

Найновіший PCI-DSS відмовився від виклику NAT абсолютною вимогою. Багато організацій пройшли аудит PCI-DSS за допомогою IPv4 без NAT, показуючи стаціонарні брандмауери як "еквівалентні впровадження безпеки".

Існують інші документи театру безпеки, які закликають до NAT, але, оскільки це руйнує аудиторські сліди і ускладнює розслідування / пом'якшення інцидентів, більш поглиблене вивчення NAT (з PAT або без нього) несе негативний захист.

Хороший надійний брандмауер без NAT - це надзвичайно чудове рішення NAT у світі IPv6. У IPv4 NAT є необхідним злом, яке слід терпіти заради збереження адреси.


2
NAT - це "ледача безпека". А з "ледачою безпекою" виникає недостатня увага до деталей та випливає з цього втрата безпеки, яка була призначена.
Скаперен

1
Повністю згоден; хоч у тому, як проводяться більшість аудитів PCI-DSS (аудит мавпи з контрольним списком), це все ледача безпека і несе в собі ці недоліки.
MadHatter

Для тих, хто стверджує, що NAT - це "театр безпеки", я хотів би вказати на статтю The Networking Nerd про вразливість Memcached кілька місяців тому. networkingnerd.net/2018/03/02/… Він є прихильним прихильником IPv6 та ненависником NAT, але мусив зазначити, що тисячі компаній залишили свої відкриті сервери в Інтернеті широко відкритими в Інтернеті через правила брандмауера, які "не були опрацьовано ретельно ". NAT змушує вас бути чіткими щодо того, що ви дозволяєте в своїй мережі.
Кевін Кін

12

Мине (на жаль) деякий час, перш ніж ви зможете піти з односкладної мережі лише для IPv6. До цього часу спосіб запуску з двома стеками з перевагою IPv6, коли він є.

Хоча сьогодні більшість маршрутизаторів споживачів не підтримують IPv6 з біржовим програмним забезпеченням, багато хто може підтримувати його сторонніми прошивками (наприклад, Linksys WRT54G з dd-wrt тощо). Крім того, багато пристроїв бізнес-класу (Cisco, Juniper) підтримують IPv6 нестандартно.

Важливо не плутати PAT (багатоосібний NAT, як це звичайно на споживчих маршрутизаторах) з іншими формами NAT та з брандмауером без NAT; Як тільки Інтернет стане лише IPv6, брандмауери все одно запобігатимуть впливу внутрішніх послуг Так само система IPv4 з NAT один на один не захищена автоматично; це робота політики брандмауера.


11

З цього приводу існує велика плутанина, оскільки мережеві адміністратори бачать NAT в одному світлі, а малий бізнес та приватні клієнти бачать його в іншому. Дозвольте уточнити.

Статичний NAT (іноді називається один-до-одного NAT) не пропонує абсолютно ніякого захисту для вашої приватної мережі або окремого комп'ютера. Змінювати IP-адресу безглуздо, що стосується захисту.

Динамічні перевантажені NAT / PAT, як, наприклад, більшість житлових шлюзів та Wi-Fi AP, абсолютно допомагають захистити вашу приватну мережу та / або ваш ПК. За конструкцією таблиці NAT в цих пристроях є таблицею стану. Він відслідковує вихідні запити та відображає їх у таблиці NAT - час з’єднання закінчується через певний час. Будь-які непотрібні вхідні кадри, які не відповідають тому, що знаходиться в таблиці NAT, за замовчуванням випадають - NAT-маршрутизатор не знає, куди надсилати їх у приватну мережу, тому він їх скидає. Таким чином, єдиний пристрій, який ви залишаєте вразливим для злому, - це ваш маршрутизатор. Оскільки більшість подвигів безпеки базується на Windows - такий пристрій між Інтернетом та ПК на ПК Windows справді допомагає захистити вашу мережу. Це може бути не первісно призначена функція, що потрібно було економити на загальнодоступних ІС, але це робить роботу. Як бонус, більшість із цих пристроїв також мають можливості брандмауера, які багато разів за замовчуванням блокують запити ICMP, що також допомагає захистити мережу.

З огляду на вищенаведену інформацію, розміщення з NAT під час переходу на IPv6 може піддавати мільйонам споживачів та пристроїв малого бізнесу потенційні злому. Це не матиме жодного впливу на корпоративні мережі, оскільки вони професійно керують брандмауерами на їхньому краю. Споживчі та малі бізнес-мережі, можливо, більше не мають NAT-маршрутизатора на базі * nix між Інтернетом та своїм ПК. Немає причин, щоб людина не могла перейти на єдине рішення між брандмауером - набагато безпечніше, якщо його розмістити правильно, але також виходить за рамки того, що 99% споживачів розуміють, як це зробити. Динамічний перевантажений NAT дає можливість захисту лише за допомогою його - підключіть ваш житловий маршрутизатор і ви захищені. Легко.

Однак це не означає, що NAT не може бути використаний таким же чином, як і в IPv4. Насправді, маршрутизатор міг бути розроблений таким чином, щоб мати один IPv6-адресу на порту WAN з приватною мережею IPv4 за ним, що NAT на нього (наприклад). Це було б простим рішенням для споживачів та мешканців. Інший варіант - поставити всі пристрої з відкритими IP-адресами IPv6 --- проміжний пристрій тоді може діяти як пристрій L2, але забезпечити таблицю стану, перевірку пакетів та повноцінний функціонування брандмауера. По суті, немає NAT, але все ще блокує будь-які непотрібні вхідні кадри. Важливо пам'ятати, що ви не повинні підключати ПК безпосередньо до свого WAN-з'єднання без жодного посередницького пристрою. Якщо, звичайно, ви не хочете покластися на брандмауер Windows. . . і це інша дискусія.

Будуть певні болі, що рухаються до IPv6, але немає жодної проблеми, яку не вдасться вирішити досить легко. Чи доведеться вам викопати старий маршрутизатор IPv4 або житловий шлюз? Можливо, але з'являться нові недорогі рішення, коли прийде час. Сподіваємось, багатьом пристроям знадобиться спалах мікропрограми. Чи міг IPv6 бути спроектований так, щоб більш чітко вписатись у поточну архітектуру? Звичайно, але це те, що воно є, і воно не відходить - Тож ти можеш так само навчитися, жити, любити.


3
Для того, що варто, я хотів би ще раз зазначити, що поточна архітектура принципово порушена (перехідність від кінця до кінця) і це створює практичні проблеми у складних мережах (надлишкові пристрої NAT надмірно складні та дорогі). Якщо вимкнути NAT-хак, це зменшить складність та потенційні точки відмови, тоді як безпеку підтримують прості брандмауери (я не уявляю на секунду маршрутизатор SOHO, який не працює за допомогою програми за замовчуванням. думка).
Chris S

Іноді розбита кінцева маршрутизація - саме те, що ви хочете. Я не хочу, щоб мої принтери та ПК могли бути спрямовані з Інтернету. Поки NAT почався як хак, він перетворився на дуже корисний інструмент, який в деяких випадках може покращити безпеку, видаливши потенціал, щоб пакети направлялися безпосередньо до вузла. Якщо у мене IP-код RFC1918, призначений статично на ПК, ні в якому разі не можна переносити IP в Інтернеті.
Computerguy

6
Порушена рухливість - це погана річ ™ . Що ви хочете, щоб ваші пристрої були недоступними Інтернетом (через брандмауер), це не одне і те ж. Дивіться, чому б ви використовували IPv6 внутрішньо? . Крім того, RFC1918 зазначає, що ці адреси повинні використовуватися лише для приватних мереж, а доступ до Інтернету повинен забезпечуватися лише шлюзами рівня додатків (яких NAT немає). Для зовнішніх з’єднань хосту слід призначити адресу з координованого розподілу IANA. Хаки, якими б корисними не були, роблять зайві компроміси і не є правильним шляхом.
Chris S

10

Якщо NAT виживе у світі IPv6, швидше за все, це буде NAT 1: 1. Форма NAT, яку ніколи не бачили в просторі IPv4. Що таке 1: 1 NAT? Це 1: 1 переклад глобальної адреси на локальну адресу. Еквівалент IPv4 перекладав би всі з'єднання в 1.1.1.2 лише на 10.1.1.2 тощо для всього простору 1.0.0.0/8. Версія IPv6 полягала б у перекладі глобальної адреси на Унікальну локальну адресу.

Підвищену безпеку можна забезпечити, часто обертаючи відображення адрес, які вас не цікавлять (наприклад, внутрішні користувачі офісу, які переглядають Facebook). Внутрішньо ваші номери ULA залишатимуться однаковими, тому DNS з розділеним горизонтом продовжуватиме працювати нормально, але зовні клієнти ніколи не знаходяться на передбачуваному порту.

Але дійсно, це невелика кількість покращеної безпеки для клопоту, який він створює. Сканування підмереж IPv6 - це дійсно велике завдання і нездійсненно без певної розвідки про те, як присвоюються IP-адреси в цих підмережах (метод генерації MAC? Випадковий метод? Статичне призначення людських читаних адрес?).

У більшості випадків, що трапиться, це те, що клієнти, що стоять за корпоративним брандмауером, отримають глобальну адресу, можливо, ULA, і по периметру брандмауер буде налаштований таким чином, щоб забороняти всі вхідні з'єднання будь-якого типу до цих адрес. Для всіх намірів і цілей ці адреси зовні недоступні. Як тільки внутрішній клієнт ініціює з'єднання, пакети будуть дозволені через уздовж цього з'єднання. Необхідність змінити IP-адресу на щось зовсім інше вирішується, змушуючи зловмисника переходити через 2 ^ 64 можливих адреси в цій підмережі.


@ sysadmin1138: мені подобається це рішення. Оскільки я зараз розумію IPv6, якщо мій Інтернет-провайдер дає мені / 64, я повинен використовувати цей / 64 у всій своїй мережі, якщо хочу, щоб мої машини були доступними через Інтернет IPv6. Але якщо я втомився від цього провайдера і перейшов до іншого, тепер мені доведеться повністю перенумерувати все.
Кумба

1
@ sysadmin1138: Однак, я говорив, що я помітив, що я можу призначити кілька IP-адрес одному інтерфейсу набагато простіше, ніж IPv4, тому я можу передбачити використання ISP / 64 для зовнішнього доступу та власну приватну внутрішню схему ULA для комусь між хостами та використовуйте брандмауер, щоб зробити адреси ULA недоступними зовні. Більше роботи з налаштування, але, схоже, це взагалі уникне NAT.
Кумба

@ sysadmin1138: Я ВСІХ час чухаю голову про те, чому ULA, за всіма намірами та цілями, є приватними, але, як очікується, вони все ще будуть унікальними у всьому світі. Це як би сказати, що я можу мати автомобіль будь-якої марки та моделі, доступний на даний момент, але не будь-яку марку / модель / рік, якою вже користувався хтось інший, хоча це мій автомобіль, і я буду єдиним водієм, який він коли-небудь матиме.
Кумба

2
@Kumba Причина RFC 4193 повинна бути унікальною у всьому світі - це гарантувати, що вам не доведеться перераховувати номер у майбутньому. Можливо, одного дня вам потрібно об'єднати дві мережі, використовуючи адреси RFC 4193, або одна машина, яка вже може мати адресу RFC 4193, може знадобитися підключення до однієї або декількох VPN, які також мають адреси RFC 4193.
kasperd

1
@Kumba Якщо б кожен використовував fd00 :: / 64 для першого сегменту у своїй мережі, то ви неодмінно зіткнетесь з конфліктом, як тільки будь-яка пара двох таких мереж повинна зв’язатися. Суть RFC 4193 полягає в тому, що доки ви вибираєте 40 біт випадковим чином, ви можете призначити решта 80 біт, проте, будь ласка, і залишаєтесь впевненими, що вам не доведеться переставляти чисел.
kasperd

9

RFC 4864 описує захист локальної мережі IPv6 , набір підходів для забезпечення сприйнятих переваг NAT у середовищі IPv6, фактично не вдаючись до NAT.

У цьому документі описано ряд методів, які можуть поєднуватися на сайті IPv6 для захисту цілісності його мережевої архітектури. Ці методи, відомі в сукупності як Захист локальної мережі, зберігають концепцію чітко визначеної межі між приватною мережею "всередині" і "зовні" і дозволяють брандмауер, приховувати топологію та конфіденційність. Однак, оскільки вони зберігають прозорість адреси там, де це необхідно, вони досягають цих цілей без недоліків перекладу адрес. Таким чином, захист локальної мережі в IPv6 може забезпечити переваги трансляції мережевих адрес IPv4 без відповідних недоліків.

Спочатку викладається, що таке сприйняті переваги NAT (і розблоковує їх, коли це доречно), потім описується особливості IPv6, які можна використовувати для надання тих самих переваг. Він також містить примітки щодо впровадження та тематичні дослідження.

Хоча тут надто довго для перевидання, обговорюються переваги:

  • Простий шлюз між "всередині" та "зовні"
  • Державний брандмауер
  • Відстеження користувача / програми
  • Приховування конфіденційності та топології
  • Незалежний контроль над адресацією в приватній мережі
  • Мультихомінг / перенумерація

Це в значній мірі охоплює всі сценарії, в яких, можливо, бажав би NAT і пропонує рішення для їх реалізації в IPv6 без NAT.

Деякі з технологій, які ви будете використовувати:

  • Унікальні локальні адреси. Віддайте перевагу цим у своїй внутрішній мережі, щоб внутрішні комунікації залишалися внутрішніми і щоб внутрішні комунікації могли продовжуватися, навіть якщо у провайдера відключений.
  • Розширення конфіденційності IPv6 з коротким життям адреси та не очевидно структурованими ідентифікаторами інтерфейсу: Це допомагає запобігти атаці окремих сканерів і сканування підмережі.
  • IGP, Mobile IPv6 або VLAN можна використовувати для приховування топології внутрішньої мережі.
  • Поряд з ULA, DHCP-PD від ISP робить перенумерування / мультихомінг простішим, ніж з IPv4.

( Повні деталі див. У RFC ; знову ж таки, занадто довго, щоб передрукувати або навіть взяти значні уривки з нього.)

Для більш загального обговорення безпеки переходу IPv6 див. RFC 4942 .


8

Типу. Насправді існують різні "типи" IPv6-адрес. Найближчий до RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) називається "Унікальна локальна адреса" і визначається в RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Отже, ви починаєте з fd00 :: / 8, потім додаєте 40-бітний рядок (використовуючи заздалегідь визначений алгоритм в RFC!), І ви закінчуєте псевдослучайним префіксом / 48, який повинен бути унікальним у всьому світі. У вас є залишок адресного простору, який ви хочете призначити.

Ви також повинні заблокувати fd00 :: / 7 (fc00 :: / 8 та fd00 :: / 8) на своєму маршрутизаторі (IPv6) поза вашою організацією - звідси "локальний" у назві адреси. Ці адреси, перебуваючи у глобальному адресному просторі, не повинні бути доступні світові взагалі, лише за допомогою вашої "організації".

Якщо вашим серверам PCI-DSS потрібен IPv6 для підключення до інших внутрішніх хостів IPv6, ви повинні створити префікс ULA для своєї компанії та використовувати його для цієї мети. Ви можете використовувати автоконфігурацію IPv6, як і будь-який інший префікс, якщо бажаєте.

Зважаючи на те, що IPv6 був розроблений таким чином, що хости можуть мати декілька адрес, машина може мати - крім ULA - також глобально маршрутизовану адресу. Таким чином, веб-сервер, який повинен спілкуватися як із зовнішнім світом, так і з внутрішніми машинами, може мати як призначений ISP префекс-адресу, так і ваш префікс ULA.

Якщо ви хочете, щоб NAT була схожа на функціональність, ви також можете поглянути на NAT66, але загалом я би архітектор навколо ULA. Якщо у вас є додаткові запитання, ви можете ознайомитися зі списком розсилки "ipv6-ops".


1
Ха-ха. Я пишу всі ці коментарі до sysadmin1138, і навіть не думав дивитися на вашу відповідь про використання подвійних адрес для глобальних та локальних комунікацій. Однак я жорстоко не погоджуюся з заповідями ULA, які мають бути унікальними у всьому світі. Я не люблю рандомізовані, 40-розрядні числа на всіх , особливо для моєї внутрішньої мережі, з яких я є єдиним користувачем. Їм, мабуть, потрібна світова база даних ULA, щоб зареєструватись (SixXS працює такою), але киньте випадковий номер безлад і нехай люди будуть творчими. Як і персоналізовані номерні знаки. Ви подаєте заявку на одне, і якщо це прийнято, ви намагаєтеся на інше.
Кумба

1
@Kumba вони намагаються зупинити кожну мережу, використовуючи однакові адреси - випадково означає, що вам не потрібна загальнодоступна база даних, і кожна мережа є незалежною; якщо ви хотіли видавати IP-адреси централізовано, тоді просто використовуйте глобальні!
Річард Ґадсден

@ Richard: Це ... Як це сказати, дурне поняття, ІМХО. Чому це має мати значення, якщо маленька компанія Джо в місті в штаті Монтана використовує ту саму адресу IPv6, як і інша невелика компанія в Перті, Австралія? Шанси двох колись перетнутись, хоча і неможливо, є досить малоймовірними. Якщо задумом дизайнерів IPv6 було спробувати повністю відійти від концепції "приватних мереж", то їм потрібно перевірити їх каву, оскільки це не реально реально.
Кумба

2
@Kumba Я думаю, що це шрами, коли ви намагаєтеся об'єднати дві великі приватні мережі IPv4 в 10/8, і вам доведеться перенумерувати одну (або навіть обидві) з них, чого вони намагаються уникати.
Річард Ґадсден

2
@Richard: Точно немає нічого більш болісного, ніж використання VPN для підключення до іншої мережі з тією ж приватною підмережею, деяка реалізація просто припинить роботу.
Хуберт Каріо

4

ІМХО: ні.

Є ще деякі місця, де SNAT / DNAT можуть бути корисними. Для прикладу деякі сервери були переміщені до іншої мережі, але ми не хочемо / не можемо змінити IP-адресу програми.


1
Потрібно використовувати імена DNS замість IP-адреси в конфігураціях програми.
rmalayter

DNS не змінює проблему, якщо вам потрібно створити мережевий шлях, не змінюючи всю топологію маршрутизації та правила брандмауера.
sumar

3

Сподіваємось, NAT назавжди піде. Це корисно лише тоді, коли у вас є дефіцит IP-адреси та немає функцій захисту, які не забезпечуються кращим, дешевшим та легшим керуванням стаціонарним брандмауером.

Оскільки IPv6 = немає більше дефіциту, це означає, що ми можемо позбавити світ некрасивого хака, який є NAT.


3

Я не бачив остаточної відповіді про те, як втрата NAT (якщо вона справді піде) на IPv6 вплине на конфіденційність користувачів.

Із IP-адресами окремих пристроїв, які публічно піддаються впливу, веб-сервісам буде набагато простіше проводити опитування (збирати, зберігати, агрегувати за часом та простором та веб-сайтами та сприяти безлічі вторинних цілей використання) ваших подорожей по Інтернету з різних пристроїв. Якщо ... Інтернет-провайдери, маршрутизатори та інше обладнання дозволяють легко та легко мати динамічні адреси IPv6, які можна часто змінювати для кожного пристрою.

Звичайно, незалежно від того, що у нас все ще буде випуск статичних MAC-адрес wi-fi, але це вже інша історія ...


2
Вам просто потрібно включити адреси конфіденційності. Це дасть вам так само конфіденційність, як це зробив би NAT. Крім того, використовуючи IPv6, ви будете значно менше піддаватися проблемам, спричиненим неправильним вибором IPID.
kasperd

2

Існує багато схем підтримки NAT в сценарії переходу V4 до V6. Однак якщо у вас є вся мережа IPV6 та підключено до висхідного постачальника IPV6, NAT не є частиною нового світового порядку, за винятком того, що ви можете тунелювати між V4 мережами через мережі V6.

Cisco має багато загальної інформації про сценарії 4to6, міграцію та тунелювання.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Також у Вікіпедії:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms


2

Політика та основна ділова практика, швидше за все, сприятимуть існуванню NAT. Багато IPv6-адрес означає, що Інтернет-провайдери будуть спокушатися стягувати плату за пристрій або обмежувати з'єднання лише обмеженою кількістю пристроїв. Дивіться цю останню статтю про /. наприклад:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device


2
Я не такий впевнений. Я думаю, буде величезний технічний бунт проти будь-якого провайдера, який намагається заряджати за кожен пристрій. Хоча я можу зрозуміти, чому провайдери підстрибують цю ідею, оскільки тепер вони насправді можуть сказати, скільки пристроїв знаходиться на іншому кінці з'єднання.
Марк Хендерсон

1
Зважаючи на перехід до надання деякого рівня анонімності за допомогою тимчасових адрес для вихідних з'єднань, примусове виконання правил на пристрої було б складним, якщо не неможливим. Пристрій може мати 2 або більше активних глобальних адрес за цією схемою, крім будь-якого іншого призначеного.
BillThor

2
@Mark Henderson - Вже є провайдери, які стягують плату за кожен пристрій. Наприклад, AT&T стягує додаткову плату за "прив'язку".
Річард Ґадсден

1
@Richard - якби це було так, якби я був з AT&T, я б кинув їх, як це спекотно
Марк Хендерсон

@Mark - це бездротовий AT&T (наприклад, подивіться контракти на iPhone).
Річард Ґадсден

-2

FYI, хтось цікавий використовує NAT / NAPT з IPV6 може. Всі операційні системи BSD, які мають PF, підтримують NAT66. Чудово працює. З блогу ми використовували :

ipv6 nat (nat66) від FreeBSD pf

хоча nat66 все ще знаходиться в стадії розробки, але FreeBSD pf вже підтримує його.

(відредагуйте pf.conf та вставте наступні коди)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

Ви все налаштовані!

Відмінно працює для нас, хто вже багато років використовує кальмари з однією IP-адресою. За допомогою IPv6 NAT я можу отримати 2 ^ 120 приватних адрес (локальний сайт), який включає 2 ^ 56 підмереж завдовжки з моїми 5/64 підмережами. Це означає, що я повинен бути в 100 мільярдів разів розумнішим, ніж будь-який інший гуру IPv6, тому що в мене більше адрес.:D

Правда полягає в тому, що тільки тому, що я маю більше адрес (або, можливо, я використовував IPv6 довше, ніж ви), насправді не робить IPv6 (або я для того ж питання) кращим. Однак це робить IPv6 складнішим, коли замість PAT потрібен брандмауер, а NAT вже не є вимогою, але є можливим варіантом. Мета брандмауера - дозволити всі вихідні з'єднання та зберегти стан, але блокувати вхідні ініційовані з'єднання.

Що стосується NAPT (NAT з PAT), знадобиться певний час, щоб люди вийшли з розуму. Наприклад, поки ми не зможемо вашого прадіда налаштувати власний брандмауер IPv6 без локальної адресації (приватні адреси) та без допомоги гуру, може бути непоганою ідеєю пограти з можливою ідеєю NAT, оскільки це буде все, що він знає.


2
Ваша середня передача SOHO, яка врешті-решт підтримує IPv6, майже напевно не матиме IPv6 NAT (яку NAT66, яку ви цитуєте, не працює так само, як NATv4, але ми все одно підемо з нею), і за умовчанням заборонити правило для вхідний трафік (разом із дозволеними вихідними з'єднаннями стаціонарно), що забезпечує майже таку ж безпеку, яку сьогодні має IPv4 SOHO передача. Як зазначають інші, ми розуміємо, що люди отримують поступливість і комфорт зі своїми хакерськими технологіями, це не означає, що вони потрібні або трохи більше, ніж театр безпеки.
Chris S

NAT66 не повинен працювати так само, як NAT44. Це потрібно лише для того, щоб звучати так, щоб ми могли швидше перебирати людей на IPv6. Після того, як вони перейдуть на IPv6, ми повинні мати можливість працювати в команді, щоб правильно налаштувати брандмауер. Або ми працюємо як команда, або нам потрібно починати використовувати NAT44444. Твій вибір.
gnarlymarley

Це не лише ПФ. На практиці більшість маршрутизаторів можуть робити такий же NAT на IPv6, як і на IPv4, просто нахмурившись. Я бачив цю функцію в маршрутизаторах Fortinet, а також у OpenWRT.
Кевін Кін

-2

Нещодавні пропозиції, висунуті для ipv6, запропонували інженерам, які працюють над новою технологією, включити NAT в ipv6, таку причину: NAT пропонує додатковий рівень безпеки

Документація розміщена на веб-сайті ipv6.com, тому, здавалося б, всі ці відповіді, в яких зазначається, що пропозиції NAT не мають безпеки, виглядають трохи збентеженими.


1
Можливо, ви могли б розширити саме те, що стосується NAT, на вашу думку, пропонує додатковий рівень безпеки? Зокрема, який ризик проти якої конкретної загрози зменшується?
зростанняse

«Захищеність», яку надає НАТ, - це запаморочення і примушування мережі до позиції заперечення за замовчуванням, перша - дискусійною, а пізніше - хорошою ідеєю. Заборона за замовчуванням може бути досягнута іншими способами так само легко, а IPv6 усуває одну з головних технічних причин NAT: дефіцит IP.
sysadmin1138

2
На NATv6.com є сторінка про NAT . Крім усього іншого, тут сказано: "Проблема безпеки часто використовується при захисті процесу перекладу мережевих адрес. Однак основним принципом Інтернету є забезпечення безперервного підключення до різних мережевих ресурсів. " а також це: "Оскільки IPv6 повільно замінює протокол IPv4, процес перекладу мережевих адрес стане зайвим і марним."
Ладададада

-6

Я усвідомлюю, що в якийсь майбутній момент (про це можна лише здогадуватися) регіональна IPv4-адреса неминуче закінчиться. Я погоджуюся, що IPv6 має деякі серйозні недоліки користувачів. Проблема NAT надзвичайно важлива, оскільки вона по суті забезпечує безпеку, надмірність, конфіденційність і дозволяє користувачам без обмежень підключати майже стільки пристроїв, скільки вони хочуть. Так, брандмауер є золотим стандартом проти небажаного вторгнення в мережу, але NAT не тільки додає ще один рівень захисту, але він, як правило, забезпечує захищений дизайн за замовчуванням незалежно від конфігурації брандмауера або знань кінцевого користувача, незалежно від того, як ви його визначаєте IPv4 з NAT і брандмауер як і раніше захищений за замовчуванням, ніж IPv6 лише з брандмауером. Інша проблема - конфіденційність, наявність маршрутизованої адреси в Інтернеті на кожному пристрої відкриє користувачам усілякі можливі порушення конфіденційності, збирання особистої інформації та відстеження таким чином, які навряд чи можна уявити сьогодні в такій масі. Я також вважаю, що без Nat нам можуть бути відкриті додаткові витрати та контроль через Ісп. Ісп може почати стягувати плату за кожний пристрій або за користувачем, як ми вже бачимо при встановленні USB, це значно зменшить свободу кінцевого користувача відкрито підключати будь-який пристрій, який вони вважають за потрібне. На сьогоднішній день мало хто пропонує IPv6 провайдера США в будь-якій формі, і я вважаю, що нетехнологічний бізнес буде повільно перемикатися через додаткову вартість, отриману мало або зовсім не отримавши вартості.


4
NAT - це ілюзія безпеки.
Скаперен

4
NAT взагалі не забезпечує захисту. Це автоматичний брандмауер, який ви отримуєте з NAT, який забезпечує будь-який "захист", який вам може сподобатися, коли ви також користуєтесь усіма недоліками NAT.
Майкл Хемптон
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.