Переключение на IPv6 подразумевает сброс NAT. Это хорошо?

109

Это канонический вопрос об IPv6 и NAT

Связанный:

Так что наш провайдер недавно установил IPv6, и я изучал, что переход должен повлечь за собой, прежде чем участвовать в драке.

Я заметил три очень важных вопроса:

  1. Наш офисный маршрутизатор NAT (старый Linksys BEFSR41) не поддерживает IPv6. Ни один из более новых маршрутизаторов, AFAICT. Книга, которую я читаю об IPv6, говорит мне, что она делает NAT «ненужным» в любом случае.

  2. Если мы должны просто избавиться от этого роутера и подключить все напрямую к Интернету, я начинаю паниковать. Нет никакого черта, что я выложу нашу базу данных счетов (с большим количеством информации о кредитной карте!) В Интернет, чтобы все могли ее увидеть. Даже если бы я предложил настроить на нем брандмауэр Windows, чтобы разрешить доступ к нему только 6 адресам, я все равно был в холодном поту. Я не доверяю Windows, брандмауэру Windows или сети в целом, чтобы даже чувствовать себя удаленно комфортно.

  3. Есть несколько старых аппаратных устройств (то есть принтеров), которые абсолютно не поддерживают IPv6. И, вероятно, список проблем безопасности, относящихся к 1998 году. И, скорее всего, никоим образом не исправить их. И нет финансирования для новых принтеров.

Я слышал, что IPv6 и IPSEC должны как-то сделать все это безопасным, но без физически разделенных сетей, которые делают эти устройства невидимыми для Интернета, я действительно не понимаю, как это сделать. Я также могу реально увидеть, как любая защита, которую я создаю, будет разрушена в короткие сроки. Я уже несколько лет эксплуатирую серверы в Интернете, и я достаточно хорошо знаком с вещами, необходимыми для их защиты, но о том, что в сети всегда есть что-то частное, например, наша платежная база данных, не может быть и речи.

Чем я должен заменить NAT, если у нас нет физически отдельных сетей?

Эрни
источник
9
Можете ли вы попробовать еще раз спросить это? Прямо сейчас это кажется довольно спорным.
Зоредаче
9
Вещи, о которых вы шокированы , не существуют. Возможно, вам следует переформатировать свой вопрос таким образом, чтобы описать то, что вы считаете фактами, и попросить нас подтвердить их. Вместо того, чтобы жаловаться на то, что вы предположили, будет работать определенным образом.
Зоредаче
25
Кроме того - вы храните информацию о кредитной карте? И у вас есть много вопросов о безопасности? Вы когда-нибудь проходили аудит PCI? Или вы нарушаете свой договор, сохраняя данные кредитной карты? Вы можете посмотреть на это, поспешно.
mfinni
4
Я не могу с чистой совестью голосовать или закрывать этот вопрос ни на том основании, что постер плохо информирован (конечно, это половина темы сайта). Конечно, ОП идет по большому счету, основываясь на ложном предположении, и вопрос может быть переписан.
Крис Торп
3
«Нет больше NAT», безусловно, является одной из целей в IPv6. Хотя в настоящий момент (по крайней мере, здесь) кажется, что интерес к предложению IPv6 не очень велик, за исключением центров обработки данных (поскольку большие пакеты означают большую пропускную способность, а большая пропускная способность означает для них больше денег!). Для DSL все наоборот, практически у всех есть фиксированная скорость, поэтому IPv6 означает только больше проблем и больше затрат для провайдеров.
dm.skt

Ответы:

185

Прежде всего, нечего бояться находиться в публичном распределении IP-адресов, если ваши устройства безопасности настроены правильно.

Чем я должен заменить NAT, если у нас нет физически отдельных сетей?

То же самое, что мы физически разделяем их с 1980-х годов, маршрутизаторы и брандмауэры. Один большой выигрыш в безопасности, который вы получаете с помощью NAT, заключается в том, что он принудительно вводит конфигурацию, запрещающую использование по умолчанию. Чтобы получить какой-либо сервис через него, вы должны явно пробить дыры. Более изящные устройства даже позволяют вам применять ACL на основе IP к этим дырам, как брандмауэр. Вероятно, потому что у них есть «Брандмауэр» на коробке, на самом деле.

Правильно настроенный брандмауэр предоставляет точно такую ​​же услугу, что и шлюз NAT. Шлюзы NAT часто используются, потому что им легче войти в безопасную конфигурацию, чем большинство брандмауэров.

Я слышал, что IPv6 и IPSEC должны как-то сделать все это безопасным, но без физически разделенных сетей, которые делают эти устройства невидимыми для Интернета, я действительно не понимаю, как это сделать.

Это заблуждение. Я работаю в университете, который имеет / 16 IPv4-распределение, и подавляющее большинство наших IP-адресов приходится на это публичное распределение. Конечно, все наши рабочие станции и принтеры. Наше потребление RFC1918 ограничено сетевыми устройствами и некоторыми конкретными серверами, где такие адреса требуются. Я не удивлюсь, если вы только что вздрогнули, потому что я, конечно, сделал, когда я появился в мой первый день и увидел пост-это на моем мониторе с моим IP-адресом.

И все же мы выживаем. Почему? Потому что у нас есть внешний брандмауэр, настроенный на запрет по умолчанию с ограниченной пропускной способностью ICMP. Тот факт, что 140.160.123.45 является теоретически управляемым, не означает, что вы можете добраться туда, где бы вы ни находились в общедоступном Интернете. Это то, для чего предназначены брандмауэры.

При правильных настройках маршрутизатора различные подсети в нашем распределении могут быть абсолютно недоступны друг для друга. Вы можете сделать это в таблицах маршрутизаторов или межсетевых экранах. Это отдельная сеть, которая удовлетворяла наших аудиторов в прошлом.

Нет никакого черта, что я выложу нашу базу данных счетов (с большим количеством информации о кредитной карте!) В Интернет, чтобы все могли ее увидеть.

Наша платежная база данных находится на общедоступном IPv4-адресе и существует на протяжении всего ее существования, но у нас есть доказательства того, что вы не сможете получить ее отсюда. Тот факт, что адрес находится в общедоступном маршрутизируемом списке v4, не означает, что он гарантированно будет доставлен. Два межсетевых экрана между пороками Интернета и действительными портами базы данных отфильтровывают зло. Даже со своего стола, за первым брандмауэром, я не могу добраться до этой базы данных.

Информация о кредитной карте - это особый случай. Это зависит от стандартов PCI-DSS, и стандарты прямо указывают, что серверы, содержащие такие данные, должны находиться за шлюзом NAT 1 . Наши есть, и эти три сервера представляют наше общее использование адресов RFC1918. Это не добавляет никакой безопасности, только уровень сложности, но нам нужно проверить этот флажок для проверок.


Первоначальная идея «IPv6 делает NAT ушедшим в прошлое» была выдвинута до того, как бум в Интернете по-настоящему охватил весь мейнстрим. В 1995 году NAT был обходным путем для небольшого распределения IP. В 2005 году он был закреплен во многих документах по рекомендациям по безопасности и, по крайней мере, в одном основном стандарте (в частности, PCI-DSS). Единственное конкретное преимущество, которое дает NAT, заключается в том, что внешний объект, выполняющий реконфигурацию в сети, не знает, как выглядит IP-пейзаж позади устройства NAT (хотя благодаря RFC1918 у них есть надежное предположение), и на IPv4 без NAT (такой как моя работа) это не так. Это маленький шаг в глубокой защите, а не большой.

Замена адресов RFC1918 - это так называемые уникальные локальные адреса. Как и RFC1918, они не маршрутизируют, если одноранговые узлы специально не разрешат им маршрутизировать. В отличие от RFC1918, они (вероятно) уникальны во всем мире. Трансляторы адресов IPv6, которые переводят ULA в глобальный IP, существуют в аппаратуре с более высоким диапазоном периметра, определенно еще не в аппаратуре SOHO.

Вы можете просто выжить с публичным IP-адресом. Просто имейте в виду, что «public» не гарантирует «достижимость», и у вас все будет хорошо.


Обновление 2017

В последние несколько месяцев Amazon добавила поддержку IPv6. Он только что был добавлен к их предложению , и их реализация дает некоторые подсказки относительно того, как ожидаются крупномасштабные развертывания.

  • Вы получили распределение / 56 (256 подсетей).
  • Распределение является полностью маршрутизируемой подсетью.
  • От вас ожидают, что правила брандмауэра ( ) будут установлены соответствующим образом.
  • NAT отсутствует, он даже не предлагается, поэтому весь исходящий трафик будет поступать с фактического IP-адреса экземпляра.

Чтобы добавить одно из преимуществ безопасности NAT, они теперь предлагают выходной интернет-шлюз только для выхода . Это предлагает одно NAT-подобное преимущество:

  • Подсети позади этого не могут быть напрямую доступны из Интернета.

Что обеспечивает уровень глубокой защиты на случай, если неправильно настроенное правило брандмауэра случайно разрешит входящий трафик.

Это предложение не переводит внутренний адрес в один адрес, как это делает NAT. Исходящий трафик по-прежнему будет иметь исходный IP-адрес экземпляра, который открыл соединение. Операторам брандмауэра, которые ищут ресурсы для белого списка в VPC, будет лучше использовать сетевые блоки белого списка, а не конкретные IP-адреса.

Маршрутизация не всегда означает достижимость .


1 : Стандарты PCI-DSS изменились в октябре 2010 года, заявление, предписывающее адреса RFC1918, было удалено, и его заменила «изоляция сети».

sysadmin1138
источник
1
Я отметил это как Принятый, потому что это более полный ответ. Я предполагаю, что, поскольку каждый том о конфигурации брандмауэра, который я когда-либо читал (примерно с 1997 года, когда я начинал в полевых условиях, включая сборку брандмауэров FreeBSD вручную), подчеркивал использование RFC1918, это на самом деле не имеет никакого смысла мне. Конечно, как у интернет-провайдера у нас будут некоторые проблемы с конечными пользователями и их дешевыми маршрутизаторами, когда у нас закончатся адреса IPv4, и это не исчезнет в ближайшее время.
Эрни
«Трансляторы IPv6-адресов, которые переводят ULA в глобальный IP-адрес, существуют в аппаратуре с более высоким диапазоном периметра, определенно еще не в аппаратуре SOHO», - после многих лет сопротивления Linux добавила поддержку для этого в 3.9.0.
Питер Грин
2
У меня есть вопрос о том, что «шлюзы NAT часто используются, потому что их легче настроить в защищенной конфигурации, чем большинство брандмауэров». Для компаний с профессиональным ИТ-персоналом или для знающих потребителей это не составляет особого труда, но для обычного потребителя / наивного малого бизнеса не является ли что-то «легким» огромным риском для безопасности? Например, десятилетия беспарольных сетей wifi "linksys" существовали, потому что не настроить безопасность было "проще", чем ее настроить. В доме, полном потребительских устройств с поддержкой IoT, я не вижу, как мама правильно настраивает брандмауэр IPv6. Как вы думаете, это проблема?
Джейсон С
6
@JasonC Нет, потому что уже доставленное оборудование потребительского уровня поставляется с брандмауэрами, предварительно настроенными провайдером, чтобы запретить все входящие. Или нет поддержки v6. Задача - опытные пользователи, которые думают, что знают, что делают, но на самом деле не знают.
sysadmin1138
1
В общем, отличный ответ, но я отказался от него, потому что он едва касался большого слона в комнате: правильная настройка устройства безопасности - это то, что вы не можете просто принять как должное.
Кевин Кин
57

Наш офисный маршрутизатор NAT (старый Linksys BEFSR41) не поддерживает IPv6. Ни один из более новых маршрутизаторов

IPv6 поддерживается многими маршрутизаторами. Просто не так много дешевых, ориентированных на потребителей и SOHO. В худшем случае, просто используйте коробку с Linux или перепрограммируйте свой маршрутизатор с помощью dd-wrt или чего-то еще, чтобы получить поддержку IPv6. Есть много вариантов, вам, вероятно, просто нужно выглядеть сложнее.

Если мы должны просто избавиться от этого маршрутизатора и подключить все напрямую к Интернету,

Ничто в переходе на IPv6 не предполагает, что вам следует избавляться от устройств защиты периметра, таких как ваш маршрутизатор / брандмауэр. Маршрутизаторы и брандмауэры по-прежнему будут обязательным компонентом практически каждой сети.

Все маршрутизаторы NAT эффективно действуют как межсетевой экран с отслеживанием состояния. В использовании адресов RFC1918 нет ничего волшебного, что вас так сильно защищает. Это бит состояния, который делает тяжелую работу. Правильно настроенный брандмауэр защитит вас также, если вы используете реальные или частные адреса.

Единственная защита, которую вы получаете от адресов RFC1918, - это то, что люди могут избежать ошибок / лени в конфигурации вашего брандмауэра и при этом не быть такими уж уязвимыми.

Есть несколько старых аппаратных устройств (то есть принтеров), которые абсолютно не поддерживают IPv6.

Так? Маловероятно, что вам нужно будет сделать это доступным через Интернет, а во внутренней сети вы можете продолжать использовать IPv4 и IPv6, пока все ваши устройства не будут поддерживаться или заменяться.

Если запуск нескольких протоколов не возможен, возможно, вам придется настроить какой-либо шлюз / прокси.

IPSEC должны как-то обезопасить все это

IPSEC шифрует и аутентифицирует пакеты. Это не имеет никакого отношения к избавлению от вашего пограничного устройства, и имеет больше защиты данных при передаче.

Zoredache
источник
2
Прямо во многих отношениях.
sysadmin1138
3
Точно, получите настоящий маршрутизатор, и вам не придется беспокоиться. SonicWall имеет несколько отличных опций для обеспечения необходимой безопасности и будет поддерживать IPv6 без проблем. Эта опция, вероятно, предложит лучшую безопасность и производительность, чем у вас есть в настоящее время. ( news.sonicwall.com/index.php?s=43&item=1022 ) Как вы можете видеть в этой статье, вы также можете выполнить перевод ipv4 в ipv6 с устройствами sonicwall для тех, кто не может обрабатывать ipv6.
MaQleod
34

Да. NAT мертв. Были некоторые попытки ратифицировать стандарты для NAT через IPv6, но ни один из них так и не появился.

Это на самом деле вызвало проблемы у провайдеров, которые пытаются соответствовать стандартам PCI-DSS, так как стандарт фактически утверждает, что вы должны быть за NAT.

Для меня это одни из самых замечательных новостей, которые я когда-либо слышал. Я ненавижу NAT и еще больше ненавижу NAT операторского уровня.

NAT когда-либо предназначался только для решения проблемы, пока IPv6 не станет стандартом, но он укоренился в интернет-сообществе.

В течение переходного периода вы должны помнить, что IPv4 и IPv6, помимо схожего имени, совершенно разные 1 . Таким образом, на устройствах с двумя стеками ваш IPv4 будет NAT, а ваш IPv6 - нет. Это почти как два совершенно разных устройства, просто упакованные в один кусок пластика.

Итак, как работает доступ в Интернет по протоколу IPv6? Ну, как интернет работал до того, как был изобретен NAT. Ваш интернет-провайдер назначит вам диапазон IP-адресов (как и сейчас, но обычно он назначает вам / 32, что означает, что вы получаете только один IP-адрес), но ваш диапазон теперь будет иметь миллионы доступных IP-адресов. Вы можете заполнить эти IP-адреса по своему усмотрению (с автоматической настройкой или DHCPv6). Каждый из этих IP-адресов будет виден с любого другого компьютера в Интернете.

Звучит страшно, правда? Ваш контроллер домена, домашний медиа ПК и ваш iPhone с скрытым тайником порнографий все будет с , доступными в Интернете ?! Ну нет. Вот для чего нужен брандмауэр. Еще одна замечательная особенность IPv6 заключается в том, что он заставляет брандмауэры использовать подход «Разрешить все» (как и большинство домашних устройств) в подходе «запретить все», где вы открываете службы для определенных IP-адресов. 99,999% домашних пользователей с радостью сохранят свои брандмауэры по умолчанию и будут полностью заблокированы, что означает, что не будет разрешен трафик без запроса.

1 Хорошо, это намного больше, чем это, но они никоим образом не совместимы друг с другом, хотя они оба допускают использование одних и тех же протоколов.

Марк Хендерсон
источник
1
Как насчет всех людей, которые утверждают, что наличие компьютеров за NAT обеспечивает дополнительную безопасность? Я много слышал об этом от некоторых других ИТ-администраторов. Не имеет значения, говорите ли вы, что правильный межсетевой экран - это все, что вам нужно, потому что многие из этих людей считают, что NAT добавляет уровень безопасности.
user9274
3
@ user9274 - он обеспечивает безопасность двумя способами: 1) он скрывает ваш внутренний IP-адрес от мира (именно поэтому PCI-DSS требует его), и 2) это дополнительный «переход» из Интернета на локальную машину. Но, честно говоря, первое - это просто «безопасность через неясность», которая вовсе не является безопасностью, а что касается второго, то скомпрометированное устройство NAT столь же опасно, как и скомпрометированный сервер, поэтому, как только злоумышленники минуют NAT, это может все равно залезай в свою машину.
Марк Хендерсон
Кроме того, любая безопасность, полученная благодаря использованию NAT, была и остается непреднамеренным преимуществом в попытке предотвратить истощение адресов IPv4. Это, конечно, не было частью цели дизайна, о которой я знаю.
Joeqwerty
7
Стандарты PCI-DSS были изменены в конце октября 2010 года, и требование NAT было удалено (раздел 1.3.8 v1.2). Так что даже они идут в ногу со временем.
sysadmin1138
2
@ Марк, не уверен, стоит ли упоминать, но NAT64 начинает расти, но это не тот NAT, о котором думают большинство людей. Это позволяет сетям, имеющим только IPv6, доступ к Интернету IPv4 без «сотрудничества» клиента; для его работы требуется поддержка DNS64.
Крис С
18

Хорошо известно, что требование PCI-DSS для NAT является театром безопасности, а не реальной защитой.

Самая последняя версия PCI-DSS отказалась от вызова NAT как абсолютного требования. Многие организации прошли аудит PCI-DSS с IPv4 без NAT, в котором брандмауэры с сохранением состояния представлены как «эквивалентные реализации безопасности».

Существуют и другие документы, относящиеся к театру безопасности, в которых содержится призыв к NAT, но, поскольку он уничтожает контрольные журналы и затрудняет расследование / устранение инцидентов, более глубокое изучение NAT (с или без PAT) может быть отрицательным для безопасности системы.

Хороший межсетевой экран с сохранением состояния без NAT - это превосходное решение для NAT в мире IPv6. В IPv4 NAT является необходимым злом, которое нужно терпеть ради сохранения адреса.

Оуэн Делонг
источник
2
NAT - это «ленивая безопасность». А с «ленивой безопасностью» приходит недостаток внимания к деталям и последующая потеря безопасности, которая была задумана.
Skaperen
1
Полностью согласен; хотя то, как проводится большинство аудитов PCI-DSS (аудит осуществляется обезьяной с помощью контрольного списка), все это ленивая безопасность и несет в себе эти недостатки.
MadHatter
Для тех, кто утверждает, что NAT является «театром безопасности», я хотел бы указать на статью The Networking Nerd об уязвимости Memcached несколько месяцев назад. networknerd.net/2018/03/02/… Он заядлый сторонник IPv6 и ненавистник NAT, но вынужден был отметить, что тысячи компаний оставили свои серверы memcached широко открытыми в Интернете из-за правил брандмауэра, которые «не были тщательно ". NAT заставляет вас быть откровенным о том, что вы разрешаете в вашей сети.
Кевин Кин,
12

(К сожалению) пройдет некоторое время, прежде чем вы сможете обойтись без единой сети IPv6. До тех пор способ запуска - двойной стек с предпочтением IPv6, если он доступен.

Хотя большинство потребительских маршрутизаторов сегодня не поддерживают IPv6 со стоковыми прошивками, многие могут поддерживать его со сторонними прошивками (например, Linksys WRT54G с dd-wrt и т. Д.). Кроме того, многие устройства бизнес-класса (Cisco, Juniper) поддерживают IPv6 "из коробки".

Важно не путать PAT (много-к-одному NAT, как это принято на потребительских маршрутизаторах) с другими формами NAT и с межсетевым экраном без NAT; как только Интернет станет доступным только для IPv6, брандмауэры по-прежнему будут препятствовать работе внутренних служб. Аналогично, система IPv4 с индивидуальным NAT не защищена автоматически; это работа политики брандмауэра.

techieb0y
источник
11

В этом вопросе много путаницы, поскольку сетевые администраторы видят NAT в одном свете, а малый бизнес и частные клиенты видят его в другом. Позвольте мне уточнить.

Статический NAT (иногда называемый NAT-to-one NAT) не обеспечивает абсолютно никакой защиты вашей частной сети или отдельного ПК. Смена IP-адреса не имеет смысла с точки зрения защиты.

Динамический перегруженный NAT / PAT, как и то, что делают большинство жилых шлюзов и точек доступа Wi-Fi, абсолютно помогает защитить вашу частную сеть и / или ваш компьютер. По своей структуре таблица NAT в этих устройствах является таблицей состояний. Он отслеживает исходящие запросы и отображает их в таблице NAT - время соединения истекает через определенное время. Любые незапрошенные входящие кадры, которые не соответствуют тому, что находится в таблице NAT, по умолчанию отбрасываются - маршрутизатор NAT не знает, куда отправить их в частной сети, поэтому он отбрасывает их. Таким образом, единственным устройством, которое вы оставляете уязвимым для взлома, является ваш маршрутизатор. Поскольку большинство эксплойтов безопасности основано на Windows, наличие такого устройства между Интернетом и ПК с Windows действительно помогает защитить вашу сеть. Это может быть не изначально предназначенная функция, который должен был сэкономить на общедоступных IP-адресах, но он выполняет свою работу. В качестве бонуса большинство из этих устройств также имеют возможности брандмауэра, которые по умолчанию часто блокируют запросы ICMP, что также помогает защитить сеть.

Учитывая вышеприведенную информацию, утилизация с NAT при переходе на IPv6 может подвергнуть миллионы устройств для потребителей и малого бизнеса потенциальному взлому. Это не окажет практически никакого влияния на корпоративные сети, поскольку они имеют профессионально управляемые межсетевые экраны на своем краю. Сети потребителей и малого бизнеса могут, возможно, больше не иметь маршрутизатор NAT на базе * nix между Интернетом и их ПК. Нет никаких причин, по которым человек не мог бы переключиться на решение только с брандмауэром - гораздо безопаснее при правильном развертывании, но и за рамками того, что 99% потребителей понимают, как это сделать. Динамический перегруженный NAT обеспечивает некоторую защиту только благодаря его использованию - подключите ваш домашний маршрутизатор, и вы защищены. Легко.

Тем не менее, нет никаких причин, по которым NAT нельзя использовать точно так же, как он используется в IPv4. Фактически, маршрутизатор может быть спроектирован так, чтобы иметь один IPv6-адрес на порте WAN с частной сетью IPv4 за ним, к которой подключен NAT (например). Это было бы простым решением для потребителей и бытовых людей. Другим вариантом является размещение всех устройств с общедоступными IP-адресами IPv6 - тогда промежуточное устройство может действовать как устройство L2, но предоставляет таблицу состояний, проверку пакетов и полностью работающий межсетевой экран. По сути, нет NAT, но все еще блокирует любые нежелательные входящие кадры. Важно помнить, что вы не должны подключать свои ПК напрямую к WAN-соединению без посредников. Если, конечно, вы не хотите полагаться на брандмауэр Windows. , , и это другое обсуждение.

Будут некоторые проблемы роста с переходом на IPv6, но нет никаких проблем, которые не могут быть решены довольно легко. Придется ли вам отказаться от старого маршрутизатора IPv4 или жилого шлюза? Возможно, но когда придет время, появятся недорогие новые решения. Надеюсь, многим устройствам просто понадобится прошивка. Может ли IPv6 быть спроектирован так, чтобы более органично вписываться в текущую архитектуру? Конечно, но это то, что есть, и оно не уходит - так что вы могли бы также изучить это, жить этим, любить это.

Computerguy
источник
3
Что бы это ни стоило, я хотел бы повторить, что текущая архитектура в корне сломана (сквозная маршрутизируемость), и это создает практические проблемы в сложных сетях (избыточные устройства NAT слишком сложны и дороги). Отказ от взлома NAT уменьшит сложность и потенциальные точки отказа, в то время как безопасность поддерживается простыми межсетевыми экранами с сохранением состояния (я не могу представить себе на секунду маршрутизатор SOHO, идущий без включенного межсетевого экрана с отслеживанием состояния по умолчанию, так что клиенты могут подключать и проигрывать без мысль).
Крис С
Иногда нарушенная сквозная маршрутизируемость - это именно то, что вам нужно. Я не хочу, чтобы мои принтеры и ПК могли быть перенаправлены из Интернета. Хотя NAT начинался как хакерский, он превратился в очень полезный инструмент, который в некоторых случаях может повысить безопасность, устраняя возможность маршрутизации пакетов непосредственно к узлу. Если мне назначен статический IP-адрес RFC1918 на ПК, ни при каких обстоятельствах этот IP не будет маршрутизироваться в Интернете.
Компьютерщик
6
Нарушенная управляемость - плохая вещь ™ . Вы хотите, чтобы ваши устройства были недоступны через Интернет (через брандмауэр), это не одно и то же. Посмотрите, почему вы используете IPv6 для внутреннего использования? , Кроме того, RFC1918 гласит, что эти адреса должны использоваться только для частных сетей, а доступ к Интернету должен предоставляться только шлюзами прикладного уровня (а не NAT). Для внешних соединений хосту должен быть назначен адрес из согласованного распределения IANA. Взломы, какими бы полезными они ни были, идут на ненужные компромиссы и не являются «правильным» способом.
Крис С
10

Если NAT выживет в мире IPv6, он, скорее всего, будет 1: 1 NAT. Форма NAT, никогда не встречавшаяся в пространстве IPv4. Что такое NAT 1: 1? Это перевод 1: 1 глобального адреса на локальный адрес. Эквивалент IPv4 будет переводить все соединения в 1.1.1.2 только в 10.1.1.2 и т. Д. Для всего пространства 1.0.0.0/8. Версия IPv6 будет переводить глобальный адрес в уникальный локальный адрес.

Повышенная безопасность может быть обеспечена за счет частого поворота сопоставления для адресов, которые вам не нужны (например, пользователи внутреннего офиса, просматривающие Facebook). Внутренне, ваши номера ULA останутся прежними, так что ваш DNS с разделенным горизонтом продолжит работать просто отлично, но внешне клиенты никогда не будут на предсказуемом порту.

Но на самом деле, это небольшая улучшенная защита от хлопот, которые он создает. Сканирование подсетей IPv6 является действительно большой задачей и неосуществимо без некоторого изучения того, как IP-адреса назначаются в этих подсетях (метод генерации MAC-адресов «Случайный метод», статическое назначение адресов, читаемых человеком »).

В большинстве случаев происходит то, что клиенты, находящиеся за корпоративным брандмауэром, получат глобальный адрес, возможно, ULA, и брандмауэр периметра будет настроен так, чтобы запретить все входящие подключения любого типа к этим адресам. Во всех отношениях эти адреса недоступны извне. Как только внутренний клиент инициирует соединение, пакеты будут пропущены по этому соединению. Необходимость изменить IP-адрес на что-то совершенно иное решается путем принуждения злоумышленника пролистать 2 ^ 64 возможных адресов в этой подсети.

sysadmin1138
источник
@ sysadmin1138: мне нравится это решение. Как я сейчас понимаю, IPv6, если мой провайдер дает мне / 64, я должен использовать этот / 64 во всей моей сети, если я хочу, чтобы мои машины были доступны через Интернет по IPv6. Но если я сыт по горло этим провайдером и перехожу на другого, теперь я должен полностью перенумеровать все.
Кумба
1
@ sysadmin1138: Тем не менее, я заметил, что я могу назначить несколько IP-адресов одному интерфейсу намного проще, чем с IPv4, поэтому я могу отказаться от использования ISP / 64 / для внешнего доступа и моей собственной внутренней схемы ULA для связь между хостами и использование брандмауэра, чтобы сделать адреса ULA недоступными извне. Требуется больше работы по настройке, но похоже, что он вообще избежит NAT.
Кумба
@ sysadmin1138: Я ВСЕГДА почесываю голову, почему ULA, для всех намерений и целей, является частным, и все же ожидается, что они все еще будут глобально уникальными. Это все равно, что сказать, что у меня может быть автомобиль любой марки и модели, в настоящее время доступный, но не какая-либо марка / модель / год, уже использованный кем-то другим, даже если это моя машина, и я буду единственным водителем, который у нее когда-либо будет.
Кумба
2
@Kumba Причина, по которой адреса RFC 4193 должны быть уникальны во всем мире, заключается в том, чтобы вам не пришлось перенумеровать в будущем. Возможно, однажды вам понадобится объединить две сети, используя адреса RFC 4193, или одному компьютеру, который уже может иметь адрес RFC 4193, может потребоваться подключение к одной или нескольким VPN, которые также имеют адреса RFC 4193.
Касперд
1
@Kumba Если бы все использовали fd00 :: / 64 для первого сегмента своей сети, то вы наверняка столкнулись бы с конфликтом, как только любая пара из двух таких сетей должна была связаться. Суть RFC 4193 заключается в том, что до тех пор, пока вы выбираете свои 40 битов случайным образом, вы можете назначать оставшиеся 80 битов так, как вам удобно, и сохраняйте уверенность в том, что вам не нужно будет перенумеровывать.
Касперд
9

RFC 4864 описывает защиту локальной сети IPv6 , набор подходов для обеспечения ощутимых преимуществ NAT в среде IPv6, фактически не прибегая к NAT.

В этом документе описан ряд методов, которые могут быть объединены на сайте IPv6 для защиты целостности его сетевой архитектуры. Эти методы, известные под общим названием «Защита локальной сети», сохраняют концепцию четко определенной границы между «внутренней» и «внешней» частной сетью и обеспечивают межсетевой экран, скрытие топологии и конфиденциальность. Однако, поскольку они сохраняют прозрачность адресов там, где это необходимо, они достигают этих целей без недостатка преобразования адресов. Таким образом, защита локальной сети в IPv6 может обеспечить преимущества трансляции сетевых адресов IPv4 без соответствующих недостатков.

Сначала в нем описываются предполагаемые преимущества NAT (и, если необходимо, отлаживает их), затем описываются функции IPv6, которые можно использовать для обеспечения тех же преимуществ. Он также предоставляет заметки по реализации и тематические исследования.

Хотя здесь слишком много времени для перепечатки, обсуждаются следующие преимущества:

  • Простой шлюз между «внутри» и «снаружи»
  • Stateful firewall
  • Отслеживание пользователей / приложений
  • Конфиденциальность и скрытие топологии
  • Независимый контроль адресации в частной сети
  • Многодомность / перенумерация

Это в значительной степени охватывает все сценарии, в которых может потребоваться NAT, и предлагает решения для их реализации в IPv6 без NAT.

Вот некоторые из технологий, которые вы будете использовать:

  • Уникальные локальные адреса. Предпочитайте их во внутренней сети, чтобы внутренняя связь оставалась внутренней и чтобы внутренние связи могли продолжаться даже в случае сбоя интернет-провайдера.
  • Расширения конфиденциальности IPv6 с короткими временами жизни адресов и явно не структурированными идентификаторами интерфейса: они помогают предотвратить атаку отдельных узлов и сканирование подсети.
  • IGP, Mobile IPv6 или VLAN могут использоваться для скрытия топологии внутренней сети.
  • Наряду с ULA, DHCP-PD от ISP упрощает перенумерацию / множественную адресацию по сравнению с IPv4.

( См. RFC для полной информации; опять же, это слишком долго, чтобы перепечатывать или даже брать существенные выдержки из.)

Для более общего обсуждения безопасности перехода IPv6 см. RFC 4942 .

Майкл Хэмптон
источник
8

Что-то вроде. На самом деле существуют разные «типы» адресов IPv6. Ближайший к RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) называется «Уникальный локальный адрес» и определен в RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Итак, вы начинаете с fd00 :: / 8, затем добавляете 40-битную строку (используя предварительно определенный алгоритм в RFC!), И в итоге вы получаете псевдослучайный префикс / 48, который должен быть глобально уникальным. У вас есть оставшаяся часть адресного пространства для назначения, как вы хотите.

Вам также следует заблокировать fd00 :: / 7 (fc00 :: / 8 и fd00 :: / 8) на маршрутизаторе (IPv6) за пределами вашей организации - отсюда «local» в имени адреса. Эти адреса, находящиеся в глобальном адресном пространстве, не должны быть доступны всему миру, просто в вашей «организации».

Если вашим серверам PCI-DSS требуется IPv6 для подключения к другим внутренним хостам IPv6, вы должны сгенерировать префикс ULA для своей компании и использовать его для этой цели. При желании вы можете использовать автоконфигурацию IPv6, как и любой другой префикс.

Учитывая, что IPv6 был разработан таким образом, чтобы узлы могли иметь несколько адресов, у компьютера может быть, в дополнение к ULA, также глобально маршрутизируемый адрес. Таким образом, веб-сервер, который должен общаться как с внешним миром, так и с внутренними машинами, может иметь как префиксный адрес, назначенный провайдером, так и ваш префикс ULA.

Если вам нужна NAT-подобная функциональность, вы можете взглянуть и на NAT66, но в целом я бы разработал ULA. Если у вас есть дополнительные вопросы, вы можете проверить список рассылки «ipv6-ops».

DAM
источник
1
Хах. Я написал все эти комментарии для sysadmin1138 и даже не подумал взглянуть на ваш ответ об использовании двойных адресов для глобальной и локальной связи. Однако я категорически не согласен с принципами ULA, которые должны быть глобально уникальными. Я не люблю рандомизированы, 40-разрядные числа на всех , особенно для моей внутренней сети, из которых я являюсь единственным пользователем. Вероятно, им нужна мировая база данных ULA для регистрации (SixXS запускает такую), но отбросьте беспорядок случайных чисел и дайте людям проявить творческий подход. Как персонализированные номерные знаки. Вы подаете заявку на один, и если он будет принят, вы пытаетесь на другой.
Кумба
1
@Kumba они пытаются остановить каждую сеть, используя одни и те же адреса - случайный означает, что вам не нужна общедоступная база данных, и каждая сеть независима; если вы хотите централизованно выдавать IP-адреса, просто используйте глобальные!
Ричард Гадсден
@Richard: Это ... Как бы это сказать, глупая концепция, ИМХО. Почему это должно иметь значение, если небольшая компания Joe в городе в штате Монтана использует тот же IPv6-адрес, что и другая маленькая компания в Перте, Австралия? Шансы двух когда-либо пересечений, хотя и не невозможные, довольно маловероятны. Если разработчики IPv6 намеревались полностью отказаться от концепции «частных сетей», то им нужно проверить свой кофе, потому что это нереально.
Кумба
2
@Kumba Я думаю, что это шрамы, когда вы пытаетесь объединить две большие частные сети IPv4 в 10/8, и вам нужно перенумеровать одну (или даже обе) из них, которых они пытаются избежать.
Ричард Гадсден
2
@Richard: Точно, нет ничего более болезненного, чем использование VPN для подключения к другой сети с той же частной подсетью, некоторые реализации просто перестанут работать.
Хьюберт Карио
4

ИМХО: нет.

Есть еще места, где SNAT / DNAT могут быть полезны. Например, некоторые серверы были перенесены в другую сеть, но мы не хотим / не можем изменить IP приложения.

Сумар
источник
1
Вы должны использовать DNS-имена вместо IP-адресов в настройках вашего приложения.
rmalayter
DNS не решит вашу проблему, если вам нужно создать сетевой путь без изменения всей топологии маршрутизации и правил брандмауэра.
Сумар
3

Надеюсь, NAT уйдет навсегда. Это полезно только в том случае, если у вас нехватка IP-адресов и нет функций безопасности, которые не предоставляются лучше, дешевле и легче управляются с помощью межсетевого экрана с отслеживанием состояния.

Поскольку IPv6 = больше не является дефицитом, это означает, что мы можем избавить мир от отвратительного взлома NAT.

growse
источник
3

Я не видел однозначного ответа о том, как потеря NAT (если он действительно исчезнет) с IPv6 повлияет на конфиденциальность пользователей.

Благодаря публичному раскрытию IP-адресов отдельных устройств веб-службам будет намного проще отслеживать (собирать, хранить, агрегировать во времени и пространстве и сайтах и ​​облегчать множество вторичных использований) ваши путешествия по Интернету с ваших различных устройств. Если только ... Интернет-провайдеры, маршрутизаторы и другое оборудование не позволяют и легко иметь динамические адреса IPv6, которые можно часто менять для каждого устройства.

Конечно, независимо от того, что у нас все еще будет проблема доступности статических MAC-адресов Wi-Fi, но это другая история ...

LogEx
источник
2
Вам просто нужно включить адреса конфиденциальности. Это обеспечит вам такую ​​же конфиденциальность, как и NAT. Кроме того, с помощью IPv6 вы будете гораздо меньше подвержены проблемам, вызванным неправильным выбором IPID.
Касперд
2

Существует много схем поддержки NAT в сценарии перехода с V4 на V6. Однако, если у вас есть вся сеть IPV6 и вы подключены к вышестоящему провайдеру IPV6, NAT не является частью нового мирового порядка, за исключением того, что вы можете туннелировать между сетями V4 через сети V6.

У Cisco есть много общей информации о сценариях 4to6, миграции и туннелировании.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Также в Википедии:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

Грег Аскью
источник
2

Политика и базовая деловая практика, скорее всего, будут способствовать существованию NAT. Множество адресов IPv6 означает, что интернет-провайдеры будут склонны взимать плату за устройство или ограничивать соединения только ограниченным числом устройств. Смотрите эту недавнюю статью на /. например:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

Стив-О
источник
2
Я не совсем уверен. Я думаю, что будет огромный технический бунт против любого провайдера, который пытается взимать плату за устройство. Хотя я понимаю, почему интернет-провайдеры используют эту идею, потому что теперь они могут определить, сколько устройств находится на другом конце соединения.
Марк Хендерсон
1
Принимая во внимание необходимость обеспечения некоторого уровня анонимности с использованием временных адресов для исходящих соединений, применение правил для каждого устройства будет сложным, если не невозможным. Устройство может иметь 2 или более активных глобальных адреса по этой схеме, в дополнение к любым другим назначенным.
BillThor
2
@Mark Henderson - Уже есть интернет-провайдеры, которые взимают плату за устройство. AT & T, например, взимает дополнительную плату за «привязывание».
Ричард Гадсден
1
@Richard - если бы это было так, если бы я был с AT & T, я бы бросил их, как жарко
Марк Хендерсон
@Mark - это AT & T wireless (посмотрите, например, контракты на iPhone).
Ричард Гадсден
-2

К вашему сведению, любой интересный использует NAT / NAPT с IPV6 может. Все операционные системы BSD с PF поддерживают NAT66. Работает отлично. Из блога мы использовали :

ipv6 nat (nat66) от FreeBSD pf

хотя nat66 еще находится в стадии разработки, но FreeBSD pf уже поддерживает его в течение длительного времени.

(отредактируйте pf.conf и вставьте следующие коды)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

У вас все настроено!

Отлично работает для нас, людей, которые годами используют squid с одним IP-адресом. С помощью IPv6 NAT я могу получить 2 ^ 120 частных адресов (локальных сайтов), которые включают в себя 2 ^ 56 подсетей с моими 5/64 подсетями. Это значит, что я должен быть в 100 миллиардов раз умнее любого другого гуру IPv6, потому что у меня больше адресов.

Правда в том, что только то, что у меня больше адресов (или, возможно, я использовал IPv6 дольше, чем вы), на самом деле не делает IPv6 (или меня по той же проблеме) лучше. Это, однако, делает IPv6 более сложным, когда вместо PAT требуется брандмауэр, а NAT больше не является обязательным требованием, но является опцией. Цель брандмауэра - разрешить все исходящие соединения и сохранить состояние, но заблокировать входящие инициированные соединения.

Что касается NAPT (NAT с PAT), потребуется некоторое время, чтобы вывести людей из менталитета. Например, пока мы не сможем заставить вашего прадеда настроить его собственный брандмауэр IPv6 без локальной адресации сайта (частных адресов) и без какой-либо помощи гуру, было бы неплохо поиграть с возможной идеей NAT, так как это будет все, что он знает.

gnarlymarley
источник
2
Ваш средний SOHO механизм, который в конечном итоге поддерживает IPv6, почти наверняка будет без IPv6 NAT (который цитируемый вами NAT66 не работает так же, как NATv4, но мы все равно будем его использовать) и будет иметь стандартное правило для запрета входящий трафик (вместе с разрешением исходящих соединений с учетом состояния), который обеспечивает почти все ту же безопасность, что и сегодняшнее оборудование IPv4 SOHO. Как уже отмечали другие, мы понимаем, что люди становятся довольными и довольными своими хакерскими технологиями, это не значит, что они необходимы или чуть больше, чем театр безопасности.
Крис С
NAT66 не должен работать так же, как NAT44. Оно должно звучать одинаково, чтобы мы могли быстрее набирать людей на IPv6. Как только они перейдут на IPv6, мы сможем работать как команда, чтобы правильно настроить брандмауэр. Либо мы работаем в команде, либо нам нужно начать использовать NAT44444. Твой выбор.
gnarlymarley
Это не просто ПФ. В практическом плане большинство маршрутизаторов могут выполнять тот же тип NAT на IPv6, что и на IPv4, только нахмурившись. Я видел эту функцию в маршрутизаторах Fortinet, а также в OpenWRT.
Кевин Кин,
-2

Недавние предложения, выдвинутые для ipv6, предполагают, что инженеры, работающие над новой технологией, будут включать NAT в ipv6, причина этого: NAT предлагает дополнительный уровень безопасности.

Документация находится на веб-сайте ipv6.com, так что, похоже, все эти ответы о том, что NAT не предлагает никакой защиты, выглядят немного смущенными

Андрей
источник
1
Может быть, вы могли бы остановиться на том, что именно о NAT, вы думаете, предлагает дополнительный уровень безопасности? В частности, какой риск в отношении какой конкретной угрозы смягчается?
вырасти
«Безопасность», обеспечиваемая NAT, - это запутывание и принуждение сети к отказу по умолчанию, первое является спорным, а последнее - хорошей идеей. Отказ по умолчанию может быть достигнут с помощью других средств с такой же легкостью, а IPv6 устраняет одну из основных технических причин NAT: дефицит IP.
sysadmin1138
2
На IPv6.com есть страница о NAT . Среди прочего, он говорит следующее: «Проблема безопасности часто используется для защиты процесса трансляции сетевых адресов. Однако основной принцип Интернета заключается в предоставлении сквозного подключения к различным сетевым ресурсам. " а также это: «Поскольку IPv6 медленно заменяет протокол IPv4, процесс трансляции сетевых адресов станет избыточным и бесполезным».
Ладададада
-6

Я понимаю, что в какой-то момент в будущем (это можно только предположить) региональные адреса IPv4 неизбежно закончатся. Я согласен, что IPv6 имеет ряд серьезных недостатков. Проблема NAT чрезвычайно важна, поскольку она обеспечивает безопасность, избыточность, конфиденциальность и позволяет пользователям подключать практически любое количество устройств без ограничений. Да, брандмауэр является золотым стандартом против нежелательных вторжений в сеть, но NAT не только добавляет еще один уровень защиты, он также обычно обеспечивает безопасность по умолчанию, независимо от конфигурации брандмауэра или знаний конечного пользователя, независимо от того, как вы определяете его IPv4. с NAT и брандмауэром по-прежнему более безопасным, чем IPv6 только с брандмауэром. Другая проблема - это конфиденциальность, наличие маршрутизируемого интернет-адреса на каждом устройстве откроет пользователям все возможные потенциальные нарушения конфиденциальности, сбор личной информации и отслеживание таким способом, который вряд ли можно себе представить сегодня в такой массе. Я также придерживаюсь мнения, что без Nat мы можем быть открыты для дополнительных расходов и контроля через Isp's. Isp может начать заряжаться на устройстве или на уровне пользователя, как мы уже видели при использовании USB-модема, это значительно уменьшило бы свободу конечного пользователя открыто подключать любое устройство, которое они считают подходящим, на линии. На данный момент немногие провайдеры США предлагают IPv6 в любой форме, и я чувствую, что нетехнические компании будут переключаться медленно из-за добавленной стоимости с небольшой прибылью или без нее.

dirtrider
источник
4
NAT - иллюзия безопасности.
Skaperen
4
NAT не обеспечивает никакой защиты вообще. Это автоматический брандмауэр, который вы получаете с NAT, который обеспечивает любую «защиту», которую вы можете наслаждаться, в то же время наслаждаясь всеми недостатками NAT.
Майкл Хэмптон