Перш за все, нічого страшного в тому, щоб перейти на загальнодоступні IP-адреси, якщо ваші пристрої безпеки налаштовані правильно.
На що я повинен замінити NAT, якщо у нас фізично немає окремих мереж?
Те саме, з чим ми фізично їх розділяли з 1980-х, маршрутизатори та брандмауери. Одне велике посилення безпеки, яке ви отримуєте з NAT, - це те, що воно змушує вас конфігурацію заперечення за замовчуванням. Для того, щоб отримати будь-яку послугу через неї, ви повинні чітко пробивати отвори. Фанатніші пристрої навіть дозволяють застосовувати ACL на основі IP-адрес до цих отворів, як і брандмауер. Можливо, насправді у них "Брандмауер".
Правильно налаштований брандмауер забезпечує точно таку саму послугу, що і NAT-шлюз. NAT-шлюзи часто використовуються, оскільки їх легше ввійти в безпечну конфігурацію, ніж більшість брандмауерів.
Я чую, що IPv6 та IPSEC повинні якось зробити це безпечним, але без фізично розділених мереж, які роблять ці пристрої невидимими для Інтернету, я справді не можу зрозуміти, як це зробити.
Це неправильне уявлення. Я працюю в університеті, який має розподіл IPv4 / 16, і переважна більшість наших споживачів IP-адрес припадає на це публічне виділення. Безумовно, всі наші робочі станції та принтери для кінцевих користувачів. Наше споживання RFC1918 обмежено мережевими пристроями та певними конкретними серверами, де такі адреси потрібні. Я не був би здивований, якби ви просто тремтіли просто зараз, тому що, звичайно, я це зробив, коли я з’явився в перший день і побачив пост на моніторі з моєю IP-адресою.
І все ж ми виживаємо. Чому? Оскільки у нас є зовнішній брандмауер, налаштований для заборони за замовчуванням з обмеженою пропускною здатністю ICMP. Тільки тому, що 140.160.123.45 є теоретично маршрутом, це не означає, що ви можете потрапити туди, де б ви не знаходилися в загальнодоступному Інтернеті. Це те, що були покликані робити брандмауери.
Враховуючи правильні конфігурації маршрутизатора, і різні підмережі в нашому виділенні можуть бути абсолютно недоступними одна від одної. Це можна зробити в таблицях маршрутизаторів або брандмауерах. Це окрема мережа, яка задовольняла наших аудиторів безпеки раніше.
У пеклі немає ніякого способу, щоб я розмістив нашу базу даних рахунків (з великою кількістю інформації про кредитні картки!) В Інтернеті, щоб кожен бачив.
Наша платіжна база даних знаходиться на загальнодоступній IPv4-адресі і існувала протягом усього її існування, але ми маємо доказ, що ви не можете потрапити звідси. Тільки тому, що адреса знаходиться у загальнодоступному списку маршрутизованих версій v4, це не означає, що її гарантовано доставлять. Два брандмауери між злом Інтернету та власними портами бази даних відфільтровують зло. Навіть зі свого столу, за першим брандмауером, я не можу потрапити до цієї бази даних.
Інформація про кредитні картки - це один особливий випадок. Це підпорядковане стандартам PCI-DSS, і в стандартах прямо зазначено, що сервери, що містять такі дані, повинні знаходитися за NAT-шлюзом 1 . Наші є, і ці три сервери представляють наше загальне використання сервера RFC1918 адрес. Це не додає ніякої безпеки, а лише рівень складності, але нам потрібно перевірити цей прапорець для перевірок.
Оригінальна ідея "IPv6 робить NAT справою минулого" була висунута ще до того, як інтернет-бум дійсно вдарив у повний мейнстрім. У 1995 році NAT був вирішенням для вирішення невеликого розподілу IP. У 2005 році він був зафіксований у багатьох документах із найкращих практик безпеки та принаймні в одному з основних стандартів (PCI-DSS для конкретності). Єдина конкретна перевага, яку NAT дає, - це те, що зовнішня особа, яка виконує відновлення в мережі, не знає, як виглядає IP-ландшафт позаду пристрою NAT (хоча завдяки RFC1918 вони гарно здогадуються) та на NAT-free IPv4 (такий як моя робота) це не так. Це невеликий крок до глибокої оборони, не великий.
Заміна адрес RFC1918 називається Унікальними локальними адресами. Як і RFC1918, вони не здійснюють маршрут, якщо однолітки спеціально не погоджуються надати їм маршрут. На відміну від RFC1918, вони (мабуть) глобально унікальні. Перекладачі адрес IPv6, які переводять ULA на глобальний IP, існують у шестірні периметру передач, напевно ще не в передачі SOHO.
З загальнодоступною IP-адресою ви можете просто вижити. Просто пам’ятайте, що «публіка» не гарантує «доступність», і ви будете добре.
Оновлення 2017 року
В останні кілька місяців Amazon Aws додає підтримку IPv6. Він щойно був доданий до їхньої пропозиції amazon-vpc , і їх реалізація дає певні підказки щодо того, як очікується зробити масштабне розгортання.
- Вам надається розподіл / 56 (256 підмереж).
- Виділення - це повністю маршрутизована підмережа.
- Очікується, що ви встановите свої правила брандмауера ( групи безпеки ) відповідно обмежуючими.
- NAT немає, він навіть не пропонується, тому весь вихідний трафік буде надходити з фактичної IP-адреси екземпляра.
Щоб додати ще одне з переваг безпеки NAT, вони тепер пропонують Інтернет-шлюз, не доступний лише для виходу . Це пропонує одну перевагу, схожу на NAT:
- До підмереж, що знаходяться за нею, не можна отримати прямий доступ з Інтернету.
Що забезпечує шар глибокої оборони, якщо неправильно налаштоване правило брандмауера випадково дозволяє в'їзний трафік.
Ця пропозиція не переводить внутрішню адресу в одну адресу, як це робить NAT. Вихідний трафік все ще матиме вихідний IP-адресу примірника, який відкрив з'єднання. Операторам брандмауера, які шукають білі списки ресурсів у VPC, буде краще білі мережі, а не конкретні IP-адреси.
Маршрут не завжди означає доступність .
1 : У жовтні 2010 р. Змінилися стандарти PCI-DSS, виписку, що вимагає RFC1918-адреси, було видалено, а "мережева ізоляція" замінила його.